Mandiant kısa bir süre önce, Çin menşeli bir grup bilgisayar korsanının FortiOS SSL-VPN içinde yakın zamanda keşfedilen ve Aralık ayında sıfır gün açığı olarak işaretlenen bir güvenlik açığından yararlandığını bildirdi.
Bilgisayar korsanları, hem Linux hem de Windows işletim sistemlerini etkileyebilen ‘BOLDMOVE’ adlı yeni, özel olarak tasarlanmış bir kötü amaçlı yazılımla hem Avrupa’daki bir devlet kuruluşunu hem de Afrika merkezli bir yönetilen hizmet sağlayıcıyı hedef aldı.
CVE-2022-42475 olarak tanımlanan güvenlik açığı, herhangi bir duyuru yapılmadan Fortinet tarafından Kasım ayında giderildi.
Ancak Aralık ayında Fortinet, güvenlik açığını kamuoyuna duyurdu ve kötü niyetli aktörlerin açıktan aktif olarak yararlandığı keşfedildiğinden, müşterilerini cihazlarına yama uygulamak için harekete geçmeye çağırdı.
Kimliği doğrulanmamış bir saldırgan, kusurdan uzaktan yararlanabilir ve uzaktan kod yürütme yetenekleri elde edebilir veya uzak bir konumdan hedeflenen cihazları çökertebilir.
Fortinet, güvenlik açığından nasıl yararlanıldığına dair daha fazla bilgi ancak yakın zamanda sağladı. Kötü niyetli aktörlerin, özellikle FortiOS cihazlarında çalışacak şekilde özel yapım kötü amaçlı yazılım kullanarak devlet kuruluşlarını hedef aldıklarını ortaya çıkardılar.
Bilgisayar korsanları, FortiOS günlüğe kaydetme işlemlerini manipüle etmek için özel kötü amaçlı yazılımı kullanarak hedeflenen cihazlarda bir yer tutmayı amaçladı. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için belirli girişleri kaldırmak veya günlüğe kaydetmeyi tamamen devre dışı bırakmak için günlüğe kaydetme işlemlerine yama uygulamak üzere programlandı.
BOLDMOVE Kötü Amaçlı Yazılım
Aralık 2022’de Mandiant, FortiOS Zero-Day (CVE-2022-4947) güvenlik açığından yararlanmak için kullanılan BOLDMOVE arka kapısını keşfetti.
C programlama dilinde yazılan kötü amaçlı yazılım BOLDMOVE’un hem Windows hem de Linux işletim sistemlerinde çalışabilen sürümleri bulunuyor. Kötü amaçlı yazılımın Linux varyantı, Fortinet’e özgü bir dosyadan veri okuyabildiğinden özellikle Fortinet cihazlarını hedefliyor.
BOLD MOVE’un çeşitli versiyonları, Mandiant tarafından yeteneklerinde değişiklik göstererek tanımlanmıştır, ancak aşağıdakiler de dahil olmak üzere tüm örneklerde temel bir özellik seti mevcut olmaya devam etmektedir:-
- Sistem araştırması gerçekleştirin
- C2 sunucusundan komutları alın
- Uzak bir kabuk oluştur
- Etkilenen ana bilgisayar aracılığıyla trafiği aktarın
BOLDMOVE, tehdit aktörlerinin aşağıdakileri uzaktan gerçekleştirmesine izin veren bir dizi komutu destekler:-
- dosyaları yönet
- Yürütme komutları
- Etkileşimli kabuk oluşturma
- arka kapı kontrolü
Kötü amaçlı yazılımın Windows sürümünün, 2021’deki Linux sürümünden neredeyse bir yıl önce derlendiğine inanılıyor. Bu, Linux sürümünden neredeyse bir yıl önce ancak her ikisi de farklı kitaplıklarla çalışıyor.
BOLDMOVE’un Genişletilmiş Sürümü
Yukarıda özetlenen tüm işlevler, bir dizi yeni işlevle birlikte BOLDMOVE’un genişletilmiş sürümünde mevcuttur. Ayrıca, yürütme için belirli bir yolun kullanıldığını doğrulayan Execution Guardrails (T1480) genişletilmiş sürüme dahil edilmiştir.
Sonuç olarak, bu hedefe ulaşmak için aşağıdaki adımlar atılır: –
- /proc/self/exe’den kendi yolunu alıyor
- Bu sonuçtaki yoldan fstatat aracılığıyla bir inode elde etme
- Statik olarak tanımlanmış /bin/wxd yolundan ikincil bir inode elde edin
- Bu iki inode kaydını karşılaştırma
Unutulmamalıdır ki, yazılımın Linux sürümü, Windows sürümünün aksine özellikle FortiOS cihazlarla çalışmasına izin veren önemli bir özelliğe sahiptir ve bu, aralarındaki en önemli farklardan biridir.
IOC’ler
- Temel BOLDMOVE
- MD5: 12e28c14bb7f7b9513a02e5857592ad7
- SHA256: 3da407c1a30d810aaff9a04dfc1ef5861062ebdf0e6d0f6823ca682ca08c37da
- Genişletilmiş BOLDMOVE
- MD5: 3191cb2e06e9a30792309813793f78b6
- SHA256: 0184e3d3dd8f4778d192d07e2caf44211141a570d45bb47a87894c68ebebeab
- BOLDMOVE’un Windows sürümü
- MD5: 54bbea35b095ddfe9740df97b693627b
- SHA256: 61aae0e18c41ec4f610676680d26f6c6e1d4d5aa4e5092e40915fe806b679cd4
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin