B
今週中
中国の攻撃グループVelvet Antが、重要インフラの隔離ネットワークに約10年間にわたり潜伏していたこと
📌 一言でいうと
中国の攻撃グループVelvet Antが、重要インフラの隔離ネットワークに約10年間にわたり潜伏していたことが判明しました。攻撃者はGS-NetcatやNginx/FastCGIを利用してITネットワークから隔離環境へ到達し、Linux PAM認証モジュールやOpenSSHを改ざんして高度な永続性を確保していました。特に、ターゲットごとに異なる環境でコンパイルされた複数のバックドアPAMモジュールが使用されており、極めて高度なリソースと組織力を持つ攻撃であると分析されています。
🔍該当判定
- F5 BIG-IP(ロードバランサー)を導入して利用している
- Cisco製のネットワーク機器を利用しており、OSのアップデートが未完了である
- インターネットから完全に切り離した「隔離ネットワーク(オフライン環境)」でサーバーを運用している
- LinuxサーバーでNginxおよびFastCGIを利用して外部からのリクエストを処理している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 隔離ネットワーク内におけるLinux PAMモジュールおよびOpenSSHバイナリの整合性チェックを実施すること。 2. 認証基盤の不審な変更や、authorized_keysへの未知の公開鍵追加がないか監査すること。 3. ネットワーク境界における不審なHTTPリクエスト(Nginx/FastCGI経由のコマンド実行等)を監視すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APT「Velvet Ant」による隔離ネットワーク潜伏攻撃について
お疲れさまです。Velvet Antによる高度な標的型攻撃に関する情報共有です。
■ 概要
中国の攻撃グループVelvet Antが、重要インフラの隔離ネットワークに最大10年潜伏していた事例が報告されました。攻撃者はLinux PAM認証モジュールをバックドア化し、認証プロセス自体を制御することで、パスワード変更などの標準的な対応を無効化する極めて高度な永続化手法を用いています。
■ 影響範囲
- Linuxベースのサーバー(特にPAM認証およびOpenSSHを利用している環境)
- ITネットワークと隔離ネットワークが共存する重要インフラ環境
■ 対応手順
1. 隔離環境内の重要サーバーにおいて、PAMモジュール(/lib/x86_64-linux-gnu/security/ 等)のハッシュ値を確認し、正規のパッケージと相違ないか検証してください。
2. OpenSSHのバイナリおよび authorized_keys ファイルに不審な変更がないか監査してください。
3. ネットワーク境界における不審なプロキシ通信(GS-Netcat等の挙動)を検知できるよう監視を強化してください。
■ 参考情報
- Sygnia Operation Highland Report
対応優先度: 高
対応期限: 速やかに確認を推奨
お疲れさまです。Velvet Antによる高度な標的型攻撃に関する情報共有です。
■ 概要
中国の攻撃グループVelvet Antが、重要インフラの隔離ネットワークに最大10年潜伏していた事例が報告されました。攻撃者はLinux PAM認証モジュールをバックドア化し、認証プロセス自体を制御することで、パスワード変更などの標準的な対応を無効化する極めて高度な永続化手法を用いています。
■ 影響範囲
- Linuxベースのサーバー(特にPAM認証およびOpenSSHを利用している環境)
- ITネットワークと隔離ネットワークが共存する重要インフラ環境
■ 対応手順
1. 隔離環境内の重要サーバーにおいて、PAMモジュール(/lib/x86_64-linux-gnu/security/ 等)のハッシュ値を確認し、正規のパッケージと相違ないか検証してください。
2. OpenSSHのバイナリおよび authorized_keys ファイルに不審な変更がないか監査してください。
3. ネットワーク境界における不審なプロキシ通信(GS-Netcat等の挙動)を検知できるよう監視を強化してください。
■ 参考情報
- Sygnia Operation Highland Report
対応優先度: 高
対応期限: 速やかに確認を推奨
Subject: [Intel] Advanced Persistence in Air-Gapped Networks by Velvet Ant
Dear Team,
We are sharing intelligence regarding a sophisticated campaign by the Chinese threat actor Velvet Ant (Operation Highland).
■ Overview
Velvet Ant has demonstrated the ability to maintain persistence in air-gapped critical infrastructure for nearly a decade. The attackers compromised the authentication layer by deploying custom-compiled, backdoored Linux PAM modules and tampering with OpenSSH, making traditional remediation like password resets ineffective.
■ Scope
- Linux-based systems utilizing PAM authentication and OpenSSH.
- Critical infrastructure environments with air-gapped segments.
■ Recommended Actions
1. Perform integrity checks on PAM modules and OpenSSH binaries within isolated environments to detect unauthorized modifications.
2. Audit authorized_keys files for unknown public keys.
3. Monitor for unusual HTTP traffic patterns used to bridge IT and isolated networks (e.g., via Nginx/FastCGI).
■ Reference
- Sygnia Operation Highland Report
Priority: High
Deadline: Immediate review recommended
Dear Team,
We are sharing intelligence regarding a sophisticated campaign by the Chinese threat actor Velvet Ant (Operation Highland).
■ Overview
Velvet Ant has demonstrated the ability to maintain persistence in air-gapped critical infrastructure for nearly a decade. The attackers compromised the authentication layer by deploying custom-compiled, backdoored Linux PAM modules and tampering with OpenSSH, making traditional remediation like password resets ineffective.
■ Scope
- Linux-based systems utilizing PAM authentication and OpenSSH.
- Critical infrastructure environments with air-gapped segments.
■ Recommended Actions
1. Perform integrity checks on PAM modules and OpenSSH binaries within isolated environments to detect unauthorized modifications.
2. Audit authorized_keys files for unknown public keys.
3. Monitor for unusual HTTP traffic patterns used to bridge IT and isolated networks (e.g., via Nginx/FastCGI).
■ Reference
- Sygnia Operation Highland Report
Priority: High
Deadline: Immediate review recommended