Sygnia Consultingは6月17日(イスラエル時間)、「In-Depth Analysis: Velvet Ant's Prolonged Cyber Attack on a Large Organization」において、「Velvet Ant」と名付けられた中国の国家支援を受けているとみられる脅威アクターが、少なくとも2021年後半からF5 BIG-IPアプライアンスを足がかりに大規模なスパイ活動を実施していたと報じた。標的となった組織名は公開していないが、大企業が被害に遭ったと指摘している。
F5 BIG-IPアプライアンスの悪用
F5の「BIG-IP」製品群の一つに、ネットワークセグメント間に配置されるBIG-IPアプライアンスがある。今回Sygniaが侵害調査を実施した組織においてもファイアウォール、Webアプリケーションファイアウォール(WAF: Web Application Firewall)、ロードバランサー、ローカルトラフィック管理などの機能を提供する2台のBIG-IPアプライアンスが稼働していたという。
これらアプライアンスはインターネットに直接接続されており、両方とも侵害されていたことが確認されている。これらは古くて脆弱なオペレーティングシステムを実行していたが、侵害経路は特定できていない。
Sygniaはフォレンジック調査を実施し、これらアプライアンスからsshによるリバーストンネルが構築されていたことを確認している。また、脅威アクターがこのトンネルを使用し、ローカルネットワーク内のファイルサーバ上で動作していた遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「PlugX」と通信していたことも確認している。
ファイルサーバー上のPlugXはローカルのコマンド&コントロール(C2: Command and Control)サーバとしても機能し、ネットワーク上のさまざまなデバイスへの攻撃に使用された。Sygniaはこの通信が暗号化されていないことを発見しており、脅威アクターの戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)の詳細を明らかにしている。
対策
SygniaはVelvet Antによる同様の攻撃から組織のネットワークを保護するため、次のような防御戦術の構築を推奨している。
- 内部に構築されたC2サーバとの接続を妨害するため、組織内すべてのサーバ、ワークステーション、エッジデバイスの通信に制限をかける。また、インターネットへの接続が必要最小限となるようにファイアウォールを構成し、ロードバランサーなどもこの背後に設置する
- 一般的な管理ポートのトラフィックを厳密に制御する。具体的にはSMB(port 445)、RPC(port 135)、WinRM(port 5985、5986)、RDP(port 3389)、SSH(port 22)のアクセスを厳密に制限する。この作業は困難を伴う可能性があるが、それに見合うだけのセキュリテ上のメリットがある
- レガシーデバイスは速やかに廃止して交換する。レガシーデバイスはサイバー攻撃の標的になりやすい。どうしてもレガシーデバイスを維持する必要がある場合は、デバイスのネットワークをセグメント化し、古いシステムをサポートする最新のセキュリティソリューションを導入する。また、システムにアクセスできる人員を制限し、トラフィックを常に監視する
- エンドポイント検出応答(EDR: Endpoint Detection and Response)を導入する。また、認証情報を保護するためWindowsのLSASS(Local Security Authority Subsystem Service)にPPL(Protected Process Light)を適用し、Windows Credential Guardを有効にする(参考:「追加の LSA 保護を構成する | Microsoft Learn」)
F5 BIG-IPアプライアンスのようなネットワークエッジデバイスのセキュリティ強化には、プロアクティブなセキュリティ戦略の構築が必要。Sygniaはそのような防御戦略を確立するための包括的なガイダンスとして「Defending Your Network Edge Against the Next Zero-Day Exploit」を公開しており、ネットワークエッジデバイスのセキュリティ強化に役立てることが望まれている。