C
月内に
中国系サイバー諜報組織「Velvet Ant」が、重要インフラ組織の内部ネットワークに約10年間にわたり潜伏していたこと
📌 一言でいうと
中国系サイバー諜報組織「Velvet Ant」が、重要インフラ組織の内部ネットワークに約10年間にわたり潜伏していたことが判明しました。攻撃者はインターネットに接続されていない隔離ネットワーク(エアギャップ)への侵入経路を確保し、Linuxの認証モジュール(PAM)やOpenSSHを改ざんして認証回避や資格情報の窃取を行っていました。この作戦は「オペレーション・ハイランド」と呼ばれ、長期的な潜伏と環境に合わせたツールの維持が特徴です。
🔍該当判定
- Linuxサーバーを運用しており、外部(インターネット)から直接アクセス可能な公開サーバーを保有している
- 社内ネットワークを「インターネット接続あり」と「重要システム専用(隔離網)」の2層に分けて運用している
- Linuxサーバーの認証管理(PAM)やリモート接続(OpenSSH)の設定を、標準状態から変更して利用している
- GS-Netcatなどのネットワークツールをサーバーにインストールして利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
LinuxサーバーにおけるPAMモジュール(pam_unix.so)およびOpenSSH関連バイナリの整合性チェックを実施し、不審な改ざんがないか確認することを推奨します。また、内部ネットワーク間での不必要な通信を制限し、特権アカウントの監視を強化してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APT「Velvet Ant」による長期潜伏作戦(Operation Highland)について
お疲れさまです。中国系アクターによる重要インフラへの長期侵入事例に関する情報共有です。
■ 概要
アクター「Velvet Ant」が、重要インフラ組織の内部網に約10年間潜伏していたことが報告されました。攻撃者はLinuxのPAM(pam_unix.so)やOpenSSHを改ざんし、認証回避および資格情報の窃取を行っていました。特に、隔離ネットワーク(エアギャップ)であっても、中継システムを介して侵入されるリスクが実証されています。
■ 影響範囲
- Linuxベースのサーバー(特にPAMおよびOpenSSHを利用する環境)
- 内部ネットワークおよび隔離ネットワーク
■ 対応手順
1. 重要サーバーにおける /lib/x86_64-linux-gnu/pam_unix.so 等のPAMモジュールの整合性確認(ハッシュ値の検証)。
2. ssh, sshd, scp 等のOpenSSH関連バイナリに不審な変更がないか確認。
3. 内部ネットワーク間(特に隔離網への境界)における不審なSSHトラフィックの監視強化。
■ 参考情報
- シグニア( シグニア社レポート:Operation Highland)
対応優先度: 中
対応期限: 状況に応じて随時
お疲れさまです。中国系アクターによる重要インフラへの長期侵入事例に関する情報共有です。
■ 概要
アクター「Velvet Ant」が、重要インフラ組織の内部網に約10年間潜伏していたことが報告されました。攻撃者はLinuxのPAM(pam_unix.so)やOpenSSHを改ざんし、認証回避および資格情報の窃取を行っていました。特に、隔離ネットワーク(エアギャップ)であっても、中継システムを介して侵入されるリスクが実証されています。
■ 影響範囲
- Linuxベースのサーバー(特にPAMおよびOpenSSHを利用する環境)
- 内部ネットワークおよび隔離ネットワーク
■ 対応手順
1. 重要サーバーにおける /lib/x86_64-linux-gnu/pam_unix.so 等のPAMモジュールの整合性確認(ハッシュ値の検証)。
2. ssh, sshd, scp 等のOpenSSH関連バイナリに不審な変更がないか確認。
3. 内部ネットワーク間(特に隔離網への境界)における不審なSSHトラフィックの監視強化。
■ 参考情報
- シグニア( シグニア社レポート:Operation Highland)
対応優先度: 中
対応期限: 状況に応じて随時
Subject: [Intel] Long-term Intrusion by Velvet Ant (Operation Highland)
Dear Team,
We are sharing intelligence regarding a long-term intrusion campaign by the Chinese-linked actor 'Velvet Ant.'
■ Overview
Velvet Ant has been discovered maintaining persistence within a critical infrastructure organization for nearly 10 years. The attackers compromised air-gapped networks by leveraging intermediate systems and modified Linux Pluggable Authentication Modules (PAM) and OpenSSH binaries to bypass authentication and harvest credentials.
■ Scope
- Linux-based servers utilizing PAM and OpenSSH
- Internal and air-gapped networks
■ Recommended Actions
1. Verify the integrity of PAM modules (e.g., pam_unix.so) on critical servers using known-good hashes.
2. Inspect OpenSSH binaries (ssh, sshd, scp) for unauthorized modifications.
3. Enhance monitoring for anomalous SSH traffic between internal network segments, especially those leading to isolated zones.
■ Reference
- Signia (Operation Highland Report)
Priority: Medium
Deadline: As applicable
Dear Team,
We are sharing intelligence regarding a long-term intrusion campaign by the Chinese-linked actor 'Velvet Ant.'
■ Overview
Velvet Ant has been discovered maintaining persistence within a critical infrastructure organization for nearly 10 years. The attackers compromised air-gapped networks by leveraging intermediate systems and modified Linux Pluggable Authentication Modules (PAM) and OpenSSH binaries to bypass authentication and harvest credentials.
■ Scope
- Linux-based servers utilizing PAM and OpenSSH
- Internal and air-gapped networks
■ Recommended Actions
1. Verify the integrity of PAM modules (e.g., pam_unix.so) on critical servers using known-good hashes.
2. Inspect OpenSSH binaries (ssh, sshd, scp) for unauthorized modifications.
3. Enhance monitoring for anomalous SSH traffic between internal network segments, especially those leading to isolated zones.
■ Reference
- Signia (Operation Highland Report)
Priority: Medium
Deadline: As applicable