Saldırganlar, Afrika merkezli bir MSP (yönetilen hizmet sağlayıcı) ve bir Avrupa devlet kurumu da dahil olmak üzere FortiOS müşterilerini hedefliyor.
Fortinet, kuruluşları siber tehditlere karşı koruyan uluslararası bir ağ güvenliği çözümleri sağlayıcısıdır. Son zamanlarda Fortinet ürünleri, güvenlik açıkları nedeniyle dünya çapındaki siber suçlular arasında oldukça popüler.
Siber güvenlik firması Mandiant’ın son raporuna göre, Çinli bir tehdit aktörü kötü amaçlı yazılım kullanıyor ve Fortinet FortiOS SSL-VPN’de sıfır gün olarak bulunan önceden yamalanmış bir güvenlik açığından yararlanıyor. Saldırgan, Afrika merkezli bir MSP’yi (yönetilen hizmet sağlayıcı) ve bir Avrupa devlet kuruluşunu hedefliyor.
Bulgu Ayrıntıları
Google’a ait Mandiant BOLDMOVE olarak adlandırdığı kötü amaçlı yazılımı Aralık 2022’de keşfetti. Daha fazla araştırma, tehdit aktörünün şu şekilde izlenen güvenlik açığından yararlandığını ortaya çıkardı: CVE-2022-42475.
Telemetri verileri, kötü niyetli etkinliğin Fortinet’in düzeltmeleri yayınlamasından yaklaşık iki ay önce, Ekim 2022’de başladığını gösteriyor. Bu hata, kimliği doğrulanmamış bir saldırganın, güvenliği ihlal edilmiş sistemde rasgele kod yürütmesine ve bunu sistemin farklı sürümlerinde sunmasına izin verdi. FortiOS ve FortiProxy teknolojiler.
Araştırmacılar Çin merkezli bir tehdit aktörünün olaya karıştığından emindi çünkü istismar etkinliği, Çin’in internete maruz kalan cihazları, özellikle de IDS cihazları ve güvenlik duvarları gibi yönetilen güvenlik amaçları için kullanılanları istismar etme modelini ortaya koydu.
Ayrıca, arka kapı özellikle üzerinde çalışacak şekilde tasarlanmıştır. Fortinet FortiGate güvenlik duvarları. Faaliyet, devlet kurumlarına veya bunlarla bağlantılı olanlara karşı siber casusluk operasyonları yürütmeyi amaçlıyor.
Kötü Amaçlı Yazılım Hakkında
Mandiant’ın siber casusluk analiz direktörü Ben Read’e göre BOLDMOVE, Aralık ayında halka açık bir depoda keşfedildi ve şirket bunu ilk güvenlik açığı açıklamasında yayınladığı için FortiOS SSL-VPN’de daha önce bulunan hatayla ilişkilendirildi.
Arka kapı C dilinde yazılmıştır ve biri Windows için, diğeri ise düşmanın muhtemelen FortiOS için özelleştirdiği bir Linux sürümü olmak üzere iki sürümü vardır. Linux sürümü yürütüldüğünde, sabit kodlanmış bir C2 sunucusuna bağlanmaya çalışır.
Saldırı başarılı olursa BOLDMOVE, geldiği sistemle ilgili bilgileri toplar ve C2 sunucusuna iletir. Daha sonra talimatlar kötü amaçlı yazılıma iletilir ve ardından saldırgan, etkilenen FortiOS cihazının tam uzaktan kontrolünü ele geçirir.
Read, kötü amaçlı yazılımın ek dosyalar indirme veya ters bir kabuk açma yeteneği gibi bazı temel işlevlerinin oldukça tipik olduğunu belirtti. Ancak özelleştirilmiş Linux sürümü, FortiOS’a özgü bazı özellikleri değiştirebildiği için daha tehlikelidir.
Mandiant’s, “BOLDMOVE ile saldırganlar yalnızca bir açıktan yararlanma değil, aynı zamanda sistemler, hizmetler, günlüğe kaydetme ve belgelenmemiş tescilli biçimler hakkında derinlemesine bir anlayış gösteren kötü amaçlı yazılım da geliştirdi.” raporlamak okuman.
Alakalı haberler
- Windows Logosunda Kötü Amaçlı Yazılım Gizleyen Çinli Bilgisayar Korsanları
- Fortinet VPN’deki kritik güvenlik açıklarından yararlanan bilgisayar korsanları
- APT grupları VPN kusurlarından yararlandıktan sonra FBI flaş uyarısı yayınladı
- Bilgisayar korsanları, Fortinet VPN kullanıcılarının oturum açma verilerini düz metin olarak atar
- Çinli Grup Tarafından Hedeflenen Windows, Linux ve macOS Kullanıcıları