Ein mutmaßlicher chinesischer Bedrohungsakteur nutzte eine kürzlich gepatchte Schwachstelle in Fortinet FortiOS SSL-VPN als Zero-Day bei Angriffen auf eine europäische Regierungsbehörde und einen Managed Service Provider (MSP) in Afrika aus.
Die von der zu Google gehörenden Firma Mandiant gesammelten Telemetriedaten deuten darauf hin, dass die Schwachstelle bereits im Oktober 2022 ausgenutzt wurde, also fast zwei Monate vor der Veröffentlichung der Korrekturen.
„Dieser Vorfall setzt das Muster Chinas fort, internetfähige Geräte auszunutzen, insbesondere solche, die für verwaltete Sicherheitszwecke verwendet werden (z. B. Firewalls, IPS\IDS-Appliances usw.)“, so die Forscher von Mandiant in einem technischen Bericht.
Bei den Angriffen wurde eine ausgeklügelte Backdoor namens BOLDMOVE verwendet, eine Linux-Variante, die speziell für Fortinets FortiGate Firewalls entwickelt wurde.
Der fragliche Einbruchsvektor bezieht sich auf die Ausnutzung von CVE-2022-42475, einer Heap-basierten Pufferüberlaufschwachstelle in FortiOS SSL-VPN, die über speziell gestaltete Anfragen zur unautorisierten Remotecodeausführung führen kann.
Anfang des Monats hat Fortinet bekannt gegeben, dass unbekannte Hackergruppen diese Schwachstelle ausgenutzt haben, um Regierungen und andere große Organisationen mit einem generischen Linux-Implantat anzugreifen, das in der Lage ist, zusätzliche Nutzdaten zu übermitteln und von einem entfernten Server gesendete Befehle auszuführen.
Die neuesten Erkenntnisse von Mandiant deuten darauf hin, dass es dem Bedrohungsakteur gelungen ist, die Schwachstelle als Zero-Day zu seinem Vorteil zu missbrauchen und gezielt in Netzwerke für Spionageoperationen einzudringen.
„Mit BOLDMOVE haben die Angreifer nicht nur einen Exploit entwickelt, sondern auch eine Malware, die ein tiefgreifendes Verständnis von Systemen, Diensten, Protokollierung und undokumentierten proprietären Formaten zeigt“, so die Threat Intelligence Firma.
Die in C geschriebene Malware soll sowohl eine Windows- als auch eine Linux-Variante haben, wobei letztere in der Lage ist, Daten aus einem Dateiformat zu lesen, das Fortinet gehört. Die Analyse der Metadaten der Windows-Variante der Backdoor zeigt, dass sie bereits im Jahr 2021 kompiliert wurde, obwohl noch keine Exemplare in freier Wildbahn entdeckt wurden.
BOLDMOVE wurde entwickelt, um eine Systemuntersuchung durchzuführen und ist in der Lage, Befehle von einem Command-and-Control (C2)-Server zu empfangen, der es Angreifern ermöglicht, Dateioperationen durchzuführen, eine Remote-Shell zu starten und Datenverkehr über den infizierten Host weiterzuleiten.
Ein erweitertes Linux-Sample der Malware verfügt über zusätzliche Funktionen zur Deaktivierung und Manipulation von Logging-Funktionen, um eine Entdeckung zu vermeiden, was den Bericht von Fortinet bestätigt.
„Die Ausnutzung von Zero-Day-Schwachstellen in Netzwerkgeräten, gefolgt von der Installation benutzerdefinierter Implantate, steht im Einklang mit früheren chinesischen Angriffen auf Netzwerkgeräte“, so Mandiant.