Un presunto actor de amenazas de China-nexus explotó una vulnerabilidad parcheada recientemente en Fortinet FortiOS SSL-VPN como un ataque de día cero contra una entidad gubernamental europea y un proveedor de servicios administrados (MSP) ubicado en África.
La evidencia de telemetría recopilada por Mandiant, propiedad de Google, indica que la explotación ocurrió ya en octubre de 2022, al menos casi dos meses antes de que se publicaran las correcciones.
«Este incidente continúa con el patrón de China de explotar dispositivos conectados a Internet, específicamente aquellos que se usan con fines de seguridad administrada (por ejemplo, firewalls, dispositivos IPSIDS, etc.)», investigadores de Mandiant. dicho en un informe técnico.
Los ataques implicaron el uso de una sofisticada puerta trasera denominada MOVIMIENTO AUDAZuna variante de Linux que está diseñada específicamente para ejecutarse en los firewalls FortiGate de Fortinet.
El vector de intrusión en cuestión se relaciona con la explotación de CVE-2022-42475, una vulnerabilidad de desbordamiento de búfer basada en montón en FortiOS SSL-VPN que podría resultar en la ejecución remota de código no autenticado a través de solicitudes diseñadas específicamente.
A principios de este mes, Fortinet reveló que grupos desconocidos de piratería han aprovechado la deficiencia para apuntar a gobiernos y otras grandes organizaciones con un implante genérico de Linux capaz de entregar cargas útiles adicionales y ejecutar comandos enviados por un servidor remoto.
Los últimos hallazgos de Mandiant indican que el actor de amenazas logró abusar de la vulnerabilidad como un día cero en su beneficio y violar las redes específicas para operaciones de espionaje.
«Con BOLDMOVE, los atacantes no solo desarrollaron un exploit, sino un malware que muestra una comprensión profunda de los sistemas, servicios, registros y formatos propietarios no documentados», dijo la firma de inteligencia de amenazas.
Se dice que el malware, escrito en C, tiene variantes de Windows y Linux, siendo esta última capaz de leer datos de un formato de archivo que es propiedad de Fortinet. El análisis de metadatos del sabor de Windows de la puerta trasera muestra que se compilaron desde 2021, aunque no se han detectado muestras en la naturaleza.
BOLDMOVE está diseñado para realizar una inspección del sistema y es capaz de recibir comandos de un servidor de comando y control (C2) que, a su vez, permite a los atacantes realizar operaciones con archivos, generar un shell remoto y retransmitir el tráfico a través del host infectado.
Una muestra extendida de Linux del malware viene con funciones adicionales para deshabilitar y manipular las funciones de registro en un intento de evitar la detección, lo que corrobora el informe de Fortinet.
«La explotación de las vulnerabilidades de día cero en los dispositivos de red, seguida de la instalación de implantes personalizados, es coherente con la explotación anterior china de dispositivos de red», señaló Mandiant.