中国系ハッカーが古いF5 BIG-IPへマルウェアを仕込みデータ窃取

中国系ハッカーが古いF5 BIG-IPへマルウェアを仕込みデータ窃取

2024年6月17日 海外のセキュリティ会社「Sygnia(シグニア)」によると、中国系サイバースパイ組織「Velvet Ant」が古いバージョンのF5 BIG-IPのアプライアンスへカスタムしたマルウェアを展開し、内部ネットワークへ持続的な接続を確保・データ窃取を行っている事を指摘しました。

F5 BIG-IPは攻撃者が隠れる場所として最適

F5 BIG-IP アプライアンスは、ネットワーク アーキテクチャ内で信頼される位置で設置され、境界または異なるネットワーク セグメント間に配置されます。このようなデバイスを侵害することで、攻撃者は疑いを持たれることなくネットワークのトラフィックを大幅に制御できます。

さらに、組織はネットワーク デバイスからログを頻繁に収集しますが、その対象は主にトラフィック レコードやアラートなどのアプリケーション レベルのログに向けられます。

残念ながら、ベンダーの制約やその重要性に関する認識不足により、オペレーティング システム ログは見落とされることがよくあります。その結果、F5 アプライアンス内に隠されたバックドアは、従来のログ監視ソリューションによる検出を逃れることができます。

F5 BIG-IPへのマルウェアを用いた攻撃の概要

Sygnia社が観測した攻撃は、被害を受けた組織がファイアウォール、WAF、ロードバランシング、およびローカルトラフィック管理に使用していた2台の古い F5 BIG-IP 機器の侵害から始まりました。

どちらの装置もオンラインに公開されており、脆弱な OS バージョンを実行しており、どちらも既知のリモートコード実行脆弱性を悪用されて、ネットワークデバイスにカスタムマルウェアがインストールされていました。

ただし、可視性の制限により、アプライアンスがどのように侵害されたかを正確に特定することはできなかったとのことです。

Sygnia社のフォレンジック調査により、駆除作業中に企業のファイアウォールでブロックされていたのと同じ C&C IP アドレスへのリバース SSH トンネル接続が明らかになりました。

アプライアンスは企業のメインファイアウォールの背後に配置されていなかったため、トラフィックはブロックされませんでした。

次に、攻撃者はこのアクセスを利用して内部ファイルサーバーにアクセスし、10 年以上にわたってさまざまな中国のハッカーがデータ収集と持ち出しに使用してきたリモートアクセスマルウェア「PlugX」 を展開しました。

以下脅威アクターがF5 アプライアンスを永続的な足掛かりとして活用し、横方向に移動してさまざまなサーバーでリモート コマンドを実行する方法を示した図。 

画像引用:Sygnia

F5のアプライアンスとファイル サーバー間のトラフィックを記録すると、トラフィックが SMB経由で
送信されましたが、暗号化されていなかったため、脅威アクターの TTP(Tactics, Techniques, and Procedures) に関する詳細が明らかになりました。

※SMB(サーバー メッセージ ブロック ネットワーク )ファイル共有とデータ ファブリック プロトコル

脅威アクターのTTP

脅威アクターの最初のステップは、標的のサーバー上のアクティブなネットワーク接続を列挙し

PlugX の展開用に新しいサーバーを選択した後、脅威の攻撃者は、マルウェアを展開する場所を選択するために、さまざまなフォルダー内のファイルをリストしました。

次に、脅威の攻撃者はフォルダーを選択し、WmiExec を利用して、PlugX を SMB 経由でファイル サーバーからターゲット サーバーに転送しました。

F5アプライアンス上の追加のマルウェア

また、F5 BIG-IP アプライアンスに導入された「PlugX」以外のマルウェアには、次のものがあります。

  • PMCD : C&C サーバーに 1 時間ごとに接続し、サーバーから「csh」経由で受信したコマンドを実行して、リモート制御を維持。
  • MCDP : 「mgmt」NIC 引数を使用して実行され、ネットワーク パケットをキャプチャし、永続的なネットワーク監視を保証する。
  • SAMRID (EarthWorm) : 安全なトンネルを作成するために使用されるオープンソースの SOCKS プロキシ トンネラーで、「EarthWorm」という名前で GitHub 上で公開されています。以前は中国のさまざまな政府支援グループによって使用されました。
  • ESRDE : PMCD と同様に、コマンド実行に「bash」を使用し、リモート コマンドの制御と永続性を可能にします。

攻撃者は、侵害された F5 BIG-IP アプライアンスを使用してネットワーク上での持続性を維持し、攻撃者のトラフィックを正当なネットワーク トラフィックと混合しながら内部ネットワークにアクセスし、検出を困難にしました。

これらの方法に限定する事なく脅威アクター「Velvet Ant」は様々な方法で情報を窃取しています。
彼らは企業のファイアウォールを回避し、送信トラフィックの制限を解除するため

引用:China-Nexus Threat Group ‘Velvet Ant’ Abuses F5 Load Balancers for Persistence

Sygnia(シグニア)とは?

Sygniaは 、イスラエル国防軍エリート部隊であるUnit 8200の出身者を中心として 2015年にテルアビブで創業し、サイバーコンサルティングとインシデントレスポンスを行う会社です。

日本でもラック社と業務提携し話題になりました。

TOPへ