ベルベットアント活動検出：中国支援のサイバー諜報グループがF5 BIG-IPデバイスに配備されたマルウェアを用いて長期攻撃を展開

中国に関連するサイバースパイグループのVelvet Antは約3年間、F5 BIG-IPデバイスに侵入し、それらを内部C2サーバーとして使用し、マルウェアを展開し、検出を巧妙に回避しながら機密データを盗むために持続性を確保してきました。

Velvet Ant攻撃を検出する

2024年第1四半期、中国、北朝鮮、イラン、ロシアを含むさまざまな地域のAPTグループが、攻撃能力の動的かつ革新的な向上を示し、グローバルなサイバーセキュリティ情勢に大きな課題を突きつけています。この傾向はエスカレートしており、中国に関連するVelvet Ant APTによる最近公開されたサイバースパイキャンペーンは、現在組織が対処している広範な攻撃面の最新のマークアップです。

敵に先んじ、この最新のVelvet Antキャンペーンに関連する悪意ある活動を見つけるために、SOC PrimeプラットフォームはSigmaルールの専用パックを提供しています。「 探索検知 」ボタンを下記から押すか、Velvet Ant」タグを使用して検出スタックに直接アクセスしてください。 脅威検出マーケットプレイス. 

探索検知

すべてのルールは30種類以上のSIEM、EDR、およびデータレイク技術と互換性があり、 MITRE ATT&CK®にマッピングされています。さらに、検出は包括的なメタデータ、CTI参照、および攻撃タイムラインで強化され、脅威調査をスムーズにします。

Velvet Antの活動分析

Sygniaの研究者は、 フォレンジック分析 を実施しました。中国に関連する国家支援のグループ、Velvet Antと呼ばれる持続的な悪意ある活動は、東アジアの組織に対する洗練された攻撃の背後にいると観察されています。攻撃者は、持続性と検出回避のための内部C2システムとしてレガシーF5 BIG-IPデバイスを武器化し、侵害されたインスタンスからの隠密なデータ窃盗を引き起こしました。注目すべきことに、Velvet Antは調査の少なくとも2年前に組織のネットワークに侵入していました。この間に、彼らは強固な足場を築き、ネットワークについて詳細な知識を取得しました。

感染の連鎖には、悪意ある PlugXバックドア （別名Korplug）の使用が含まれていました。これは、中国に関連するサイバースパイ維持者によく利用されるモジュール型RATです。 Earth Preta APT。PlugXはターゲットデバイスを侵害するためにDLLサイドローディングに大きく依存しています。攻撃者はまた、ネットワーク横断のためにImpacketのようなオープンソースのツールを使用してPlugXをインストールする前に、組織のEDRソリューションを無効にしようとしました。

Velvet AntはPlugXを再構成し、内部C2サーバーとして機能させ、このサーバーを通じてトラフィックをチャネルしました。これにより、防御回避が促進され、C2トラフィックが正当な内部ネットワークトラフィックとブレンドされました。

研究によれば、影響を受けた組織には、ファイアウォール、WAF、負荷分散、およびローカルトラフィック管理などのサービスを提供する2台のF5 BIG-IPアプライアンスがありました。それらはどちらも古いOSを実行しており、攻撃者がこれらのセキュリティの欠陥の1つを利用してデバイスへのリモートアクセスを取得しやすくなっていました。

攻撃者は、VELVETSTINGを含む追加のマルウェアを侵害されたF5インスタンスに展開しました。VELVETSTINGは、1時間ごとに脅威アクターのC2に接続して実行するコマンドを確認し、VELVETTAPはネットワークパケットをキャプチャするために使用されました。他の攻撃ツールキットのユーティリティには、 Volt Typhoonを含むさまざまな中国APTグループが使用するオープンソースのSOCKSプロキシトンネルであるSAMRIDや、VELVETSTINGツールと類似した能力を持つESRDEがあります。

最新のVelvet Antの攻撃の増大する洗練性と、巧妙に検出を回避する能力は、APT攻撃に対する強固な防御戦略の必要性を強調しています。潜在的なF5 BIG-IPマルウェアの軽減策として、防御者はアウトバウンドインターネットトラフィックの制限、ネットワーク内の横方向の移動の制限、およびレガシーと公共向けデバイスのシステム強化を推奨しています。「 SOC PrimeのAttack Detective 」SaaSソリューションを活用することで、組織は包括的な脅威の可視性と検出範囲を向上させるためのリアルタイムのデータとコンテンツ監査の恩恵を受けることができ、警報のための高精度の検出スタックを探索し、自動脅威ハンティングを有効にして、サイバー脅威が拡大する前に迅速に特定し対処します。