La explotación de día cero de una falla de seguridad de gravedad media ahora parcheada en Fortinet FortiOS El sistema operativo ha sido vinculado a un presunto grupo chino de hackers.
La firma de inteligencia de amenazas Mandiant, que hizo la atribución, dijo que el grupo de actividades es parte de una campaña más amplia diseñada para implementar puertas traseras en las soluciones de Fortinet y VMware y mantener el acceso persistente a los entornos de las víctimas.
La firma de inteligencia de amenazas y respuesta a incidentes propiedad de Google está rastreando la operación maliciosa bajo su nombre no categorizado. UNC3886un actor de amenazas entre China y el nexo.
«UNC3886 es un grupo de ciberespionaje avanzado con capacidades únicas en la forma en que operan en la red, así como las herramientas que utilizan en sus campañas», investigadores de Mandiant. dicho en un análisis técnico.
«Se ha observado que UNC3886 se dirige a tecnologías de virtualización y firewall que carecen de compatibilidad con EDR. Su capacidad para manipular el firmware del firewall y explotar un día cero indica que han adquirido un nivel más profundo de comprensión de tales tecnologías».
Vale la pena señalar que el adversario estuvo anteriormente vinculado a otro conjunto de intrusiones dirigido a servidores VMware ESXi y Linux vCenter como parte de una campaña de hiperjacking diseñada para eliminar puertas traseras como VIRTUALPITA y VIRTUALPIE.
La última divulgación de Mandiant se produce cuando Fortinet reveló que las entidades gubernamentales y las grandes organizaciones fueron víctimas de un actor de amenazas no identificado al aprovechar un error de día cero en el software Fortinet FortiOS para provocar la pérdida de datos y la corrupción del sistema operativo y los archivos.
La vulnerabilidad, rastreada como CVE-2022-41328 (puntuación CVSS: 6.5), se refiere a un error de recorrido de ruta en FortiOS que podría conducir a la ejecución de código arbitrario. Fue parcheado por Fortinet el 7 de marzo de 2023.
Según Mandiant, los ataques montados por UNC3886 se dirigieron a los dispositivos FortiGate, FortiManager y FortiAnalyzer de Fortinet para implementar dos implantes diferentes, como THINCRUST y CASTLETAP. Esto, a su vez, fue posible gracias al hecho de que el dispositivo FortiManager estuvo expuesto a Internet.
THINCRUST es una puerta trasera de Python capaz de ejecutar comandos arbitrarios, así como leer y escribir desde y hacia archivos en el disco.
La persistencia que ofrece THINCRUST se aprovecha posteriormente para entregar secuencias de comandos de FortiManager que arman la falla transversal de ruta de FortiOS para sobrescribir archivos legítimos y modificar imágenes de firmware.
Esto incluye una carga útil recién agregada llamada «/bin/fgfm» (referida como CASTLETAP) que se dirige a un servidor controlado por un actor para aceptar instrucciones entrantes que le permiten ejecutar comandos, obtener cargas útiles y filtrar datos del servidor comprometido. anfitrión.
«Una vez que CASTLETAP se implementó en los firewalls FortiGate, el actor de amenazas se conectó a las máquinas ESXi y vCenter», explicaron los investigadores. «El actor de amenazas implementó VIRTUALPITA y VIRTUALPIE para establecer la persistencia, lo que permitió el acceso continuo a los hipervisores y las máquinas invitadas».
Alternativamente, en los dispositivos FortiManager que implementan restricciones de acceso a Internet, se dice que el actor de la amenaza pasó de un firewall FortiGate comprometido con CASTLETAP para colocar una puerta trasera de shell inverso llamada REPTILE («/ bin/klogd») en el sistema de administración de red para recuperar el acceso. .
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
UNC3886 también emplea en esta etapa una utilidad denominada TABLEFLIP, un software de redirección de tráfico de red para conectarse directamente al dispositivo FortiManager independientemente de la lista de control de acceso (LCA) reglas establecidas.
Esto está lejos de ser la primera vez que los colectivos adversarios chinos se han centrado en equipos de red para distribuir malware a medida, y los ataques recientes se han aprovechado de otras vulnerabilidades en los dispositivos Fortinet y SonicWall.
La revelación también se produce cuando los actores de amenazas están desarrollando e implementando exploits más rápido que nunca, con hasta 28 vulnerabilidades explotadas dentro de los siete días posteriores a la divulgación pública: un aumento del 12% con respecto a 2021 y un aumento del 87% con respecto a 2020, según rápido7.
Esto también es significativo, sobre todo porque los equipos de piratería alineados con China se han vuelto «particularmente competentes» en la explotación de vulnerabilidades de día cero y en la implementación de malware personalizado para robar las credenciales de los usuarios y mantener el acceso a largo plazo a las redes de destino.
«La actividad […] es una prueba más de que los actores avanzados de amenazas de espionaje cibernético están aprovechando cualquier tecnología disponible para persistir y atravesar un entorno objetivo, especialmente aquellas tecnologías que no son compatibles con las soluciones EDR», dijo Mandiant.