Der mutmaßliche China-Nexus-Bedrohungsakteur nutzte eine kürzlich gepatchte Schwachstelle in Fortinet FortiOS SSL-VPN als Zero-Day-Angriff, der auf eine europäische Regierungsbehörde und einen in Afrika ansässigen Managed Service Provider (MSP) abzielte.
Telemetriebeweise, die von Mandiant im Besitz von Google gesammelt wurden, deuten darauf hin, dass die Ausnutzung bereits im Oktober 2022 stattfand, also mindestens fast zwei Monate vor der Veröffentlichung von Fixes -Tag in Angriffen
Dieser Vorfall setzt sich in Chinas Muster fort, mit dem Internet verbundene Geräte auszunutzen, insbesondere solche, die für verwaltete Sicherheitszwecke verwendet werden (z. B. Firewalls, IPS/IDS-Appliances usw.).
Die Angriffe beinhalteten die Verwendung einer ausgeklügelten Hintertür namens BOLDMOVE, einer Linux-Variante, die speziell für die Ausführung auf FortiGate-Firewalls von Fortinet entwickelt wurde.
Der fragliche Angriffsvektor bezieht sich auf die Ausnutzung von CVE-2022-42475, einer Heap-basierten Pufferüberlauf-Schwachstelle in FortiOS SSL-VPN, die zu einer nicht authentifizierten Remote-Code-Ausführung durch speziell gestaltete Anfragen führen könnte.
Fortinet gab bekannt, dass unbekannte Hackergruppen aus dem Mangel Kapital geschlagen haben, um Regierungen und andere große Organisationen mit einem generischen Linux-Implantat anzugreifen, das in der Lage ist, zusätzliche Nutzlasten zu liefern und Befehle auszuführen, die von einem Remote-Server gesendet werden.
Die neuesten Erkenntnisse von Mandiant zeigen, dass es dem Bedrohungsakteur gelungen ist, die Schwachstelle als Zero-Day zu seinem Vorteil zu missbrauchen und gezielte Netzwerke für Spionageoperationen zu durchbrechen.
Mit BOLDMOVE haben die Angreifer nicht nur einen Exploit und Malware entwickelt, die ein tiefgreifendes Verständnis von Systemen, Diensten und undokumentierten proprietären .
Die in C geschriebene Malware soll Windows- und Linux-Varianten haben, wobei letztere in der Lage sind, Daten aus einem Fortinet-eigenen Dateiformat zu lesen. Die Metadatenanalyse der Windows-Varianten der Hintertür zeigt, dass sie im Jahr 2021 kompiliert wurden, obwohl keine Proben in freier Wildbahn entdeckt wurden.
BOLDMOVE wurde entwickelt, um eine Systemüberprüfung durchzuführen, die in der Lage ist, Befehle von einem Command-and-Control-Server (C2) zu empfangen, der es Angreifern ermöglicht, Dateioperationen auszuführen, die eine Remote-Shell erzeugen, und den Datenverkehr über den infizierten Host weiterzuleiten.
Deutsch (Sie) 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada