MOVIMIENTO AUDAZ<\/strong>una variante de Linux que est\u00e1 dise\u00f1ada espec\u00edficamente para ejecutarse en los firewalls FortiGate de Fortinet.<\/p>\nEl vector de intrusi\u00f3n en cuesti\u00f3n se relaciona con la explotaci\u00f3n de CVE-2022-42475, una vulnerabilidad de desbordamiento de b\u00fafer basada en mont\u00f3n en FortiOS SSL-VPN que podr\u00eda resultar en la ejecuci\u00f3n remota de c\u00f3digo no autenticado a trav\u00e9s de solicitudes dise\u00f1adas espec\u00edficamente.<\/p>\n
A principios de este mes, Fortinet revel\u00f3 que grupos desconocidos de pirater\u00eda han aprovechado la deficiencia para apuntar a gobiernos y otras grandes organizaciones con un implante gen\u00e9rico de Linux capaz de entregar cargas \u00fatiles adicionales y ejecutar comandos enviados por un servidor remoto.<\/p>\n
Los \u00faltimos hallazgos de Mandiant indican que el actor de amenazas logr\u00f3 abusar de la vulnerabilidad como un d\u00eda cero en su beneficio y violar las redes espec\u00edficas para operaciones de espionaje.<\/p>\n
“Con BOLDMOVE, los atacantes no solo desarrollaron un exploit, sino un malware que muestra una comprensi\u00f3n profunda de los sistemas, servicios, registros y formatos propietarios no documentados”, dijo la firma de inteligencia de amenazas.<\/p>\n
Se dice que el malware, escrito en C, tiene variantes de Windows y Linux, siendo esta \u00faltima capaz de leer datos de un formato de archivo que es propiedad de Fortinet. El an\u00e1lisis de metadatos del sabor de Windows de la puerta trasera muestra que se compilaron desde 2021, aunque no se han detectado muestras en la naturaleza.<\/p>\n
BOLDMOVE est\u00e1 dise\u00f1ado para realizar una inspecci\u00f3n del sistema y es capaz de recibir comandos de un servidor de comando y control (C2) que, a su vez, permite a los atacantes realizar operaciones con archivos, generar un shell remoto y retransmitir el tr\u00e1fico a trav\u00e9s del host infectado.<\/p>\n
Una muestra extendida de Linux del malware viene con funciones adicionales para deshabilitar y manipular las funciones de registro en un intento de evitar la detecci\u00f3n, lo que corrobora el informe de Fortinet.<\/p>\n
“La explotaci\u00f3n de las vulnerabilidades de d\u00eda cero en los dispositivos de red, seguida de la instalaci\u00f3n de implantes personalizados, es coherente con la explotaci\u00f3n anterior china de dispositivos de red”, se\u00f1al\u00f3 Mandiant.<\/p>\n
<\/p>\n