Sygnia Consultingは8月22日(イスラエル時間)、「China-Nexus Threat Group ‘Velvet Ant’ Exploits Zero-Day on Cisco Nexus Switches」において、2024年7月1日に公開した中国の国家支援を受けているとみられる脅威グループ「Velvet Ant」シスコシステムズのデバイスを侵害したインシデントの続報を公開した。このインシデントの概要は「中国の脅威グループ、シスコのスイッチにマルウェアを仕込む | TECH+(テックプラス)」にて報じている。
脆弱性の概要
Sygnia Consultingが調査・分析したインシデントでは、Cisco NX-OSに存在したゼロデイの脆弱性「CVE-2024-20399」が悪用された。この脆弱性はコマンドインジェクションの脆弱性とされ、細工されたCLIコマンドを入力することで、基盤OSのLinux上でroot権限の任意コマンドを実行可能となる。
マルウェアの概要
前回の調査報告では、攻撃者が使用した脆弱性を悪用するコマンドやマルウェアの詳細は伏せられていた。しかしながら今回は、悪用コマンドに加えマルウェアの分析結果を明らかにしている。
Sygnia Consultingによると、攻撃者はBase64エンコードした特異なコマンドを使用したという。これはセキュリティソリューションによる検出や、ログの解析を回避する目的があるものとみられる。
使用されたマルウェアはSygnia Consultingにより「VELVETSHELL」と名付けられた。攻撃者はVELVETSHELLを実行するとファイルと活動の痕跡を慎重に削除し、徹底的に検出を回避したとされる。しかしながら、Sygnia Consultingはメモリからマルウェアを再構築し、分析に成功している。
Sygnia Consultingの分析によると、VELVETSHELLはUNIXシステム向けバックドアの「TinyShell」とプロキシーサーバ「3proxy」を組み合わせたハイブリッドマルウェアとされる。主な機能としては、任意コマンドの実行、ファイルのアップロードおよびダウンロード、ネットワークトンネルの構築などがある。
対策
脅威グループ「Velvet Ant」はさまざまな脆弱性とVELVETSHELLを悪用し、数年間もの間発見されることなくスパイ活動を継続したという。Sygnia Consultingはこの脅威グループからは強い決意と粘り強さを感じるとして、エンドポイント検出応答(EDR: Endpoint Detection and Response)などの従来の対策だけではなく、ネットワーク監視を含めた総合的な対策が必要だと結論付けている。