中国の攻撃者がF5 BIG-IPアプライアンスを踏み台にスパイ活動
マイナビニュース / 2024年6月20日 7時27分
Sygnia Consultingは6月17日(イスラエル時間)、「In-Depth Analysis: Velvet Ant's Prolonged Cyber Attack on a Large Organization」において、「Velvet Ant」と名付けられた中国の国家支援を受けているとみられる脅威アクターが、少なくとも2021年後半からF5 BIG-IPアプライアンスを足がかりに大規模なスパイ活動を実施していたと報じた。標的となった組織名は公開していないが、大企業が被害に遭ったと指摘している。
○F5 BIG-IPアプライアンスの悪用
F5の「BIG-IP」製品群の一つに、ネットワークセグメント間に配置されるBIG-IPアプライアンスがある。今回Sygniaが侵害調査を実施した組織においてもファイアウォール、Webアプリケーションファイアウォール(WAF: Web Application Firewall)、ロードバランサー、ローカルトラフィック管理などの機能を提供する2台のBIG-IPアプライアンスが稼働していたという。
これらアプライアンスはインターネットに直接接続されており、両方とも侵害されていたことが確認されている。これらは古くて脆弱なオペレーティングシステムを実行していたが、侵害経路は特定できていない。
Sygniaはフォレンジック調査を実施し、これらアプライアンスからsshによるリバーストンネルが構築されていたことを確認している。また、脅威アクターがこのトンネルを使用し、ローカルネットワーク内のファイルサーバ上で動作していた遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「PlugX」と通信していたことも確認している。
ファイルサーバー上のPlugXはローカルのコマンド&コントロール(C2: Command and Control)サーバとしても機能し、ネットワーク上のさまざまなデバイスへの攻撃に使用された。Sygniaはこの通信が暗号化されていないことを発見しており、脅威アクターの戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)の詳細を明らかにしている。
○対策
SygniaはVelvet Antによる同様の攻撃から組織のネットワークを保護するため、次のような防御戦術の構築を推奨している。
-
-
- 1
- 2
-
この記事に関連するニュース
-
エッジサービスの大規模エクスプロイトが攻撃者の主流トレンドに - ウィズセキュア、調査レポートを発表
PR TIMES / 2024年6月18日 11時15分
-
大規模エクスプロイトがランサムウェアの主要ベクトルに - WithSecureが調査
マイナビニュース / 2024年6月18日 10時42分
-
Windows狙うマルウェア、AndroidとmacOSまで標的広げて攻撃中
マイナビニュース / 2024年6月15日 18時18分
-
チェック・ポイント、セキュリティ対策のオートメーションを提供するInfinity PlayblocksによってDDoS Protectionの機能を拡張
PR TIMES / 2024年6月13日 14時15分
-
中国が支援するサイバー攻撃、FortiGateの脆弱性を悪用して2万台超を侵害
マイナビニュース / 2024年6月13日 7時28分
ランキング
-
1老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
2シャオミ、ペンを発売 「書き心地は良いが、タブレットとペアリングはできません」と公式
ITmedia NEWS / 2024年7月3日 8時30分
-
3「ロンハー」有吉弘行のヤジに指摘の声「酷かった」「凄く悲しい言葉」 42歳タレントが涙浮かべる
ねとらぼ / 2024年7月2日 15時31分
-
4NFTでバンクシーを分割販売、アート市場の民主化目指すUAEスタートアップ10101.art
Techable / 2024年7月3日 12時0分
-
5坂本龍馬はそんなこと言わない! 居酒屋で発見された“ウソすぎる名言”が話題「おもろすぎる」「せめて土佐弁で」
ねとらぼ / 2024年7月2日 20時30分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)