చైనా-నెక్సస్ థ్రెట్ యాక్టర్ అనుమానితుడు ఫోర్టినెట్ ఫోర్టియోస్ SSL-VPNలో ఇటీవలి అస్థిరతను ఉపయోగించుకుని, ఆఫ్రికాలో ఉన్న యూరోపియన్ ప్రభుత్వ సంస్థ మరియు మేనేజ్డ్ సర్వీస్ ప్రొవైడర్ (MSP)ని లక్ష్యంగా చేసుకున్న దాడులలో జీరో-డేగా ఉపయోగించుకున్నాడు.
గూగుల్ యాజమాన్యంలోని మాండియంట్ సేకరించిన టెలిమెట్రీ సాక్ష్యం అక్టోబర్ 2022 నాటికే దోపిడీ జరిగిందని సూచిస్తుంది, ఇది పరిష్కారాలను విడుదల చేయడానికి కనీసం రెండు నెలల ముందు ఉంది. అనుమానిత చైనా-నెక్సస్ ముప్పు నటుడు ఫోర్టినెట్ ఫోర్టియోస్ SSL-VPNలో ఇటీవల పాచ్ చేసిన దుర్బలత్వాన్ని సున్నాగా ఉపయోగించుకున్నారు. - దాడుల్లో రోజు
ఈ సంఘటన ప్రత్యేకంగా నిర్వహించబడే భద్రతా ప్రయోజనాల కోసం ఉపయోగించే (ఉదా, ఫైర్వాల్లు, IPS\IDS ఉపకరణాలు మొదలైనవి) ఇంటర్నెట్ ఫేసింగ్ పరికరాలను దోపిడీ చేసే చైనా నమూనాలో కొనసాగుతోంది.
ఈ దాడులు BOLDMOVE అని పిలువబడే అధునాతన బ్యాక్డోర్ను ఉపయోగించాయి, ఇది Linux వేరియంట్, ఇది ప్రత్యేకంగా Fortinet యొక్క ఫోర్టిగేట్ ఫైర్వాల్లపై అమలు చేయడానికి రూపొందించబడింది.
ప్రశ్నలోని చొరబాటు వెక్టర్ CVE-2022-42475 యొక్క దోపిడీకి సంబంధించినది, ఇది FortiOS SSL-VPNలో హీప్-బేస్డ్ బఫర్ ఓవర్ఫ్లో దుర్బలత్వం, ఇది ప్రత్యేకంగా రూపొందించిన అభ్యర్థనల ద్వారా అనధికారిక రిమోట్ కోడ్ అమలుకు దారితీయవచ్చు.
రిమోట్ సర్వర్ ద్వారా పంపబడే అదనపు పేలోడ్లు మరియు ఆదేశాలను అమలు చేయగల సాధారణ లైనక్స్ ఇంప్లాంట్తో ప్రభుత్వాలు మరియు ఇతర పెద్ద సంస్థలను లక్ష్యంగా చేసుకునే లోపాన్ని తెలియని హ్యాకింగ్ సమూహాలు ఉపయోగించుకున్నాయని ఫోర్టినెట్ వెల్లడించింది.
మాండియంట్ నుండి తాజా అన్వేషణలు బెదిరింపు నటుడు దాని ప్రయోజనం కోసం జీరో-డేగా దుర్బలత్వాన్ని దుర్వినియోగం చేయగలిగారని మరియు గూఢచర్య కార్యకలాపాల కోసం లక్ష్య నెట్వర్క్లను ఉల్లంఘించారని సూచిస్తున్నాయి.
BOLDMOVEతో దాడి చేసేవారు దోపిడీ మరియు మాల్వేర్ను అభివృద్ధి చేయడమే కాకుండా సిస్టమ్లు, సేవలు మరియు నమోదుకాని యాజమాన్యంపై లోతైన అవగాహనను చూపుతుంది.
C లో వ్రాయబడిన మాల్వేర్ విండోస్ మరియు Linux ఫ్లేవర్లను కలిగి ఉంటుందని చెప్పబడింది, ఇది ఫోర్టినెట్కు యాజమాన్యంలోని ఫైల్ ఫార్మాట్ నుండి డేటాను చదవగలదు. బ్యాక్డోర్ యొక్క విండోస్ వేరియంట్ల యొక్క మెటాడేటా విశ్లేషణ 2021లో సంకలనం చేయబడినట్లు చూపిస్తుంది, అయినప్పటికీ అడవిలో ఎటువంటి నమూనాలు కనుగొనబడలేదు.
BOLDMOVE అనేది కమాండ్-అండ్ కంట్రోల్ (C2) సర్వర్ నుండి ఆదేశాలను స్వీకరించగల సిస్టమ్ సర్వేను నిర్వహించడానికి రూపొందించబడింది, ఇది రిమోట్ షెల్ను సృష్టించే ఫైల్ కార్యకలాపాలను నిర్వహించడానికి దాడి చేసేవారిని అనుమతిస్తుంది మరియు సోకిన హోస్ట్ ద్వారా ట్రాఫిక్ను ప్రసారం చేస్తుంది.