B
今週中
中国の脅威アクター「Velvet Ant」が、ある組織の認証スタックを乗っ取り、10年間にわたり隔離ネットワーク内でスパイ活動を行っていたこと
📌 一言でいうと
中国の脅威アクター「Velvet Ant」が、ある組織の認証スタックを乗っ取り、10年間にわたり隔離ネットワーク内でスパイ活動を行っていたことが判明しました。「Operation Highland」と呼ばれるこの作戦では、インターネットに面した脆弱なシステムから侵入し、その後エアギャップ環境へピボットして管理活動を完全に監視していました。過去にはF5 BIG-IPやCisco NX-OSの脆弱性を悪用していたことも報告されています。
🔍該当判定
- F5 BIG-IP などのロードバランサーを社外(インターネット)に公開して利用している
- Cisco Nexus シリーズのスイッチ(NX-OS搭載機)を社内ネットワークで利用している
- インターネットから完全に切り離した「隔離ネットワーク(エアギャップ環境)」を運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
認証基盤(認証スタック)の整合性確認、特権アカウントの監査、インターネットに面したエッジデバイス(F5 BIG-IP, Cisco Nexus等)の最新パッチ適用、および隔離ネットワークへの不審なトラフィックの監視を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APT「Velvet Ant」による長期潜伏キャンペーンについて
お疲れさまです。Velvet Antによる「Operation Highland」に関する情報共有です。
■ 概要
中国系アクターが認証フローを乗っ取り、隔離ネットワーク内で最大10年間にわたり潜伏していた事例が報告されました。インターネット面システムから侵入し、認証基盤を制御することで、エアギャップ環境を含む内部ネットワークへのアクセスと管理権限の奪取を実現しています。
■ 影響範囲
- F5 BIG-IP デバイス
- Cisco NX-OS (Nexus スイッチ)
- 認証スタック/認証基盤を運用している組織
■ 対応手順
1. 認証サーバーおよび認証フローにおける不審な設定変更や未承認の管理アカウントの有無を確認してください。
2. F5 BIG-IP および Cisco Nexus スイッチのファームウェアを最新バージョンに更新し、既知の脆弱性を排除してください。
3. 隔離ネットワーク(エアギャップ環境)へのアクセスログおよび不審な横展開(Lateral Movement)の兆候を精査してください。
■ 参考情報
- Sygnia 研究報告
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。Velvet Antによる「Operation Highland」に関する情報共有です。
■ 概要
中国系アクターが認証フローを乗っ取り、隔離ネットワーク内で最大10年間にわたり潜伏していた事例が報告されました。インターネット面システムから侵入し、認証基盤を制御することで、エアギャップ環境を含む内部ネットワークへのアクセスと管理権限の奪取を実現しています。
■ 影響範囲
- F5 BIG-IP デバイス
- Cisco NX-OS (Nexus スイッチ)
- 認証スタック/認証基盤を運用している組織
■ 対応手順
1. 認証サーバーおよび認証フローにおける不審な設定変更や未承認の管理アカウントの有無を確認してください。
2. F5 BIG-IP および Cisco Nexus スイッチのファームウェアを最新バージョンに更新し、既知の脆弱性を排除してください。
3. 隔離ネットワーク(エアギャップ環境)へのアクセスログおよび不審な横展開(Lateral Movement)の兆候を精査してください。
■ 参考情報
- Sygnia 研究報告
対応優先度: 高
対応期限: 速やかに確認
Subject: [Intel] Long-term Espionage Campaign by Velvet Ant (Operation Highland)
Dear Team,
We are sharing intelligence regarding 'Operation Highland,' a long-term espionage campaign conducted by the Chinese threat actor Velvet Ant.
■ Overview
Velvet Ant has demonstrated the ability to hijack authentication stacks to maintain persistence for up to 10 years, even within air-gapped networks. The attackers typically breach internet-facing systems before pivoting to isolated environments to monitor administrative activity.
■ Affected Scope
- F5 BIG-IP devices
- Cisco NX-OS (Nexus switches)
- Organizations utilizing centralized authentication stacks
■ Recommended Actions
1. Audit authentication servers and flows for unauthorized configuration changes or rogue administrative accounts.
2. Ensure all F5 BIG-IP and Cisco Nexus switches are updated to the latest patched versions to mitigate known exploits used by this actor.
3. Review logs for any anomalous traffic or lateral movement targeting isolated/air-gapped network segments.
■ Reference
- Sygnia Research
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing intelligence regarding 'Operation Highland,' a long-term espionage campaign conducted by the Chinese threat actor Velvet Ant.
■ Overview
Velvet Ant has demonstrated the ability to hijack authentication stacks to maintain persistence for up to 10 years, even within air-gapped networks. The attackers typically breach internet-facing systems before pivoting to isolated environments to monitor administrative activity.
■ Affected Scope
- F5 BIG-IP devices
- Cisco NX-OS (Nexus switches)
- Organizations utilizing centralized authentication stacks
■ Recommended Actions
1. Audit authentication servers and flows for unauthorized configuration changes or rogue administrative accounts.
2. Ensure all F5 BIG-IP and Cisco Nexus switches are updated to the latest patched versions to mitigate known exploits used by this actor.
3. Review logs for any anomalous traffic or lateral movement targeting isolated/air-gapped network segments.
■ Reference
- Sygnia Research
Priority: High
Deadline: Immediate review