Un presunto ciber delincuente de China explotó una vulnerabilidad parcheada recientemente en Fortinet FortiOS SSL-VPN como un ataque de día cero contra una entidad gubernamental europea y un proveedor de servicios administrados (MSP) ubicado en África.
La evidencia de telemetría recopilada por Mandiant, propiedad de Google, indica que la explotación ocurrió ya en octubre de 2022, al menos casi dos meses antes de que se publicaran las correcciones.
«Este incidente continúa con el patrón de China de explotar dispositivos orientados a Internet, específicamente aquellos que se utilizan con fines de seguridad administrada (por ejemplo, firewalls, dispositivos IPS\IDS, etc.)», dijeron los investigadores de Mandiant en un informe técnico.
Los ataques implicaron el uso de una puerta trasera sofisticada denominada BOLDMOVE , una variante de Linux diseñada específicamente para ejecutarse en los firewalls FortiGate de Fortinet.
El vector de intrusión en cuestión se relaciona con la explotación de CVE-2022-42475 , una vulnerabilidad de desbordamiento de búfer basada en FortiOS SSL-VPN que podría resultar en la ejecución remota de código no autenticado a través de solicitudes diseñadas específicamente.
A principios de este mes, Fortinet reveló que grupos desconocidos de hacking han aprovechado la deficiencia para apuntar a gobiernos y otras grandes organizaciones con una amenaza genérica de Linux capaz de cargar payloads y ejecutar comandos enviados por un servidor remoto.
Los últimos hallazgos de Mandiant indican que el actor de amenazas logró abusar de la vulnerabilidad en su beneficio y violar las redes específicas para operaciones de espionaje.
«Con BOLDMOVE, los atacantes no solo desarrollaron un exploit, sino un malware que muestra una comprensión profunda de los sistemas, servicios, registros y formatos propietarios no documentados», dijo la firma de inteligencia de amenazas.
Se dice que el malware, escrito en C, tiene versiones de Windows y Linux, y este último es capaz de leer datos de un formato de archivo que es propiedad de Fortinet. El análisis de metadatos de las variantes de Windows de la puerta trasera muestra que se compilaron desde 2021, aunque no se han detectado muestras en la naturaleza.
BOLDMOVE está diseñado para realizar una inspección del sistema y es capaz de recibir comandos de un servidor de comando y control (C2) que, a su vez, permite a los atacantes realizar operaciones con archivos, generar un shell remoto y retransmitir el tráfico a través del host infectado.
Una muestra extendida de Linux del malware viene con funciones adicionales para deshabilitar y manipular las funciones de registro en un intento de evitar la detección, lo que corrobora el informe de Fortinet.