Un presunto actor de amenazas con diferentes nexos con la República Popular de China ha estado, supuestamente, explotando una vulnerabilidad recientemente parcheada en Fortinet, FortiOS SSL-VPN, vulnerabilidad categorizada como un ZERO-DAY, en diferentes ataques dirigidos a entidades gubernamentales de europea y un proveedor de servicios administrados (MSP) ubicado en África.
La evidencia de telemetría recopilada por Mandiant, propiedad de Google, indica que la explotación ocurrió ya en octubre de 2022, al menos casi dos meses antes de que se lanzaran los parches correspondientes.
«Este incidente continúa el patrón de China de explotar dispositivos orientados a Internet, específicamente aquellos utilizados con fines de seguridad administrada (por ejemplo, firewalls, dispositivos IPS/IDS, etc.)«, dijeron los investigadores de Mandiant en un informe técnico.
Los ataques implicaron el uso de una sofisticada puerta trasera llamada «BOLDMOVE», una variante de Linux que está diseñada, específicamente, para ejecutarse en los firewalls FortiGate de Fortinet.
El vector de intrusión en cuestión se relaciona con la vulnerabilidad rastreada como CVE-2022-42475, una falla de seguridad que permitirá al atacante realizar un desbordamiento de búfer basada en montón en FortiOS SSL-VPN que podría resultar en la ejecución remota de código no autenticado a través de solicitudes específicamente diseñadas.
A principios de este mes, Fortinet reveló que grupos APTs desconocidos han estado explotando y revelando la deficiencia para atacar a los gobiernos y otras grandes organizaciones con un implante genérico de Linux capaz de entregar Payloads adicionales y ejecutar comandos enviados por un servidor remoto.
Los últimos hallazgos de Mandiant indican que el actor de amenazas logró abusar de la vulnerabilidad ZERO-DAY para su propio beneficio y violar las redes de diferentes entidades para operaciones de espionaje.
«Con BOLDMOVE, los atacantes no solo desarrollaron un exploit, sino malware que muestra una comprensión profunda de los sistemas, servicios, registros y formatos propietarios no documentados«, dijo Mandiant.
Se dice que el malware, escrito en C, tiene una carga para Windows y Linux, y este último es capaz de leer datos de un formato de archivo que es propiedad de Fortinet. El análisis de metadatos de las variantes de Windows de la puerta trasera muestra que se compilaron ya en 2021, aunque no se han detectado muestras de esas fechas.
BOLDMOVE está diseñado para llevar a cabo un sondeo del sistema y es capaz de recibir instrucciones de un servidor de comando y control (C2) que a su vez permite a los atacantes realizar operaciones de archivos, generar una shell remota y retransmitir tráfico a través del host ya infectado.
Una muestra extendida de Linux del malware viene con características adicionales para deshabilitar y manipular las funciones de registro en un intento de evitar la detección, corroborando el informe de Fortinet.
«La explotación de vulnerabilidades de día cero en dispositivos de red, seguida de la instalación de implantes personalizados, es consistente con la explotación típica de china, previa de dispositivos de red y seguridad perimetral«, señaló Mandiant.
