A
今日中
中国系ハッカー集団「Velvet Ant」が、Linuxの認証システムであるPAMおよびOpenSSHにバックドアを仕掛け、約10年間にわたり潜伏していたこと
📌 一言でいうと
中国系ハッカー集団「Velvet Ant」が、Linuxの認証システムであるPAMおよびOpenSSHにバックドアを仕掛け、約10年間にわたり潜伏していたことが判明しました。攻撃者は信頼されたログインプログラム自体を改ざんすることで、検知を回避し、正規の管理操作に見せかけてアクセス権を維持していました。一部の環境では秘密のパスワードによるログインを許可し、また他の環境ではユーザーの認証情報を窃取する仕組みが構築されていました。
🔍該当判定
- 社内でLinux OSを搭載したサーバーやPCを利用している
- サーバーへのリモートログインに「OpenSSH」を利用している
- Linuxの認証管理システムである「PAM (Pluggable Authentication Modules)」を利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
PAMおよびOpenSSHのバイナリ整合性チェックの実施、不審なログインログの監視、および信頼できるソースからのパッケージ再インストールを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linux PAM/OpenSSHにおけるバックドア潜伏事例について
お疲れさまです。中国系APTグループ「Velvet Ant」によるLinux認証システムの侵害に関する情報共有です。
■ 概要
攻撃者がPAM (Pluggable Authentication Modules) および OpenSSH のコンポーネントを直接改ざんし、長期間にわたりバックドアを設置していた事例が報告されました。マルウェアを配置せず、既存の信頼されたバイナリを書き換える手法が取られており、通常のセキュリティスキャンでは検知が困難です。
■ 影響範囲
- Linux OS (PAMおよびOpenSSHを利用する環境)
■ 対応手順
1. 重要なサーバーにおけるPAMおよびOpenSSHバイナリの整合性検証 (rpm -V や dpkg --verify 等) を実施してください。
2. 認証ログにおける不審なログイン試行や、権限のないユーザーによる特権昇格の形跡がないか確認してください。
3. 侵害が疑われる場合は、OSパッケージの再インストールおよび認証情報の全面的な変更を検討してください。
■ 参考情報
- Sygnia Threat Intelligence Report
対応優先度: 高
対応期限: 速やかに確認を推奨
お疲れさまです。中国系APTグループ「Velvet Ant」によるLinux認証システムの侵害に関する情報共有です。
■ 概要
攻撃者がPAM (Pluggable Authentication Modules) および OpenSSH のコンポーネントを直接改ざんし、長期間にわたりバックドアを設置していた事例が報告されました。マルウェアを配置せず、既存の信頼されたバイナリを書き換える手法が取られており、通常のセキュリティスキャンでは検知が困難です。
■ 影響範囲
- Linux OS (PAMおよびOpenSSHを利用する環境)
■ 対応手順
1. 重要なサーバーにおけるPAMおよびOpenSSHバイナリの整合性検証 (rpm -V や dpkg --verify 等) を実施してください。
2. 認証ログにおける不審なログイン試行や、権限のないユーザーによる特権昇格の形跡がないか確認してください。
3. 侵害が疑われる場合は、OSパッケージの再インストールおよび認証情報の全面的な変更を検討してください。
■ 参考情報
- Sygnia Threat Intelligence Report
対応優先度: 高
対応期限: 速やかに確認を推奨
Subject: [Security Alert] Persistence via Backdoored Linux PAM/OpenSSH
Dear IT/Security Team,
We are sharing information regarding a long-term persistence technique used by the China-nexus group "Velvet Ant."
■ Overview
Attackers have been found backdooring the PAM (Pluggable Authentication Modules) and OpenSSH components of Linux systems. By modifying trusted login binaries rather than deploying standalone malware, the group maintained access for nearly a decade while appearing as normal administrative activity.
■ Scope
- Linux systems utilizing PAM and OpenSSH
■ Recommended Actions
1. Perform integrity checks on PAM and OpenSSH binaries (e.g., using 'rpm -V' or 'dpkg --verify').
2. Audit authentication logs for anomalous login patterns or unauthorized privilege escalations.
3. In case of suspected compromise, reinstall affected packages from trusted sources and rotate all credentials.
■ Reference
- Sygnia Threat Intelligence Report
Priority: High
Deadline: Immediate review recommended
Dear IT/Security Team,
We are sharing information regarding a long-term persistence technique used by the China-nexus group "Velvet Ant."
■ Overview
Attackers have been found backdooring the PAM (Pluggable Authentication Modules) and OpenSSH components of Linux systems. By modifying trusted login binaries rather than deploying standalone malware, the group maintained access for nearly a decade while appearing as normal administrative activity.
■ Scope
- Linux systems utilizing PAM and OpenSSH
■ Recommended Actions
1. Perform integrity checks on PAM and OpenSSH binaries (e.g., using 'rpm -V' or 'dpkg --verify').
2. Audit authentication logs for anomalous login patterns or unauthorized privilege escalations.
3. In case of suspected compromise, reinstall affected packages from trusted sources and rotate all credentials.
■ Reference
- Sygnia Threat Intelligence Report
Priority: High
Deadline: Immediate review recommended