CN黑客利用Fortinet的零日漏洞進行網絡間諜攻擊

Fortinet FortiOS操作系統中一個現已修補的中等級別安全漏洞被零日利用,與一個疑似CN黑客組織有關。
威脅情報公司Mandiant表示,該活動集羣是一個更廣泛行動的一部分,目的是在Fortinet和VMware解決方案上部署後門,並保持對受害者環境的持續訪問。
這家谷歌旗下的威脅情報和事件響應公司正在追蹤這一未分類名稱爲UNC3886的惡意操作,並將其描述爲與China有關的威脅行爲者。
曼迪昂特的研究人員在一份技術分析報告中說:“UNC3886是一個先進的網絡間諜組織,在網絡操作以及他們在活動中使用的工具方面具有獨特的能力。”
據觀察,UNC3886針對的是缺乏EDR支持的防火牆和虛擬化技術。他們操縱防火牆固件和利用零日漏洞的能力表明,他們對此類技術有更深層次的理解。”
值得注意的是,對手之前與另一個針對VMware ESXi和Linux vCenter服務器的入侵集相關聯,這是超級劫持活動的一部分,旨在刪除VIRTUALPITA和VIRTUALPIE等後門。
在Mandiant最新披露的消息發佈之際,Fortinet透露,政府實體和大型組織受到了身份不明的威脅行爲者的攻擊,他們利用Fortinet FortiOS軟件中的零日漏洞導致數據丟失、操作系統和文件損壞。
該漏洞被跟蹤爲CVE-2022-41328 (CVSS評分:6.5),涉及FortiOS中的路徑遍歷錯誤,可能導致任意代碼執行。它是由Fortinet在2023年3月7日修補的。
根據Mandiant公司的說法,UNC3886攻擊的目標是Fortinet公司的FortiGate、FortiManager和FortiAnalyzer設備,以部署THINCRUST和CASTLETAP等兩種不同的植入物。反過來,這是可能的,因爲FortiManager設備暴露在互聯網上。
THINCRUST是一個Python後門,能夠執行任意命令,以及讀寫磁盤上的文件。
THINCRUST提供的持久性隨後被用於交付FortiManager腳本,這些腳本利用FortiOS路徑遍歷缺陷覆蓋合法文件並修改固件映像。
這包括新添加的名爲“/bin/fgfm”的有效負載(稱爲CASTLETAP),該有效負載將信標發送到參與者控制的服務器,以便接受傳入指令,從而允許它運行命令、獲取有效負載並從受損主機竊取數據。
 
研究人員解釋說:“一旦CASTLETAP部署到FortiGate防火牆,威脅行爲者就會連接到ESXi和vCenter機器。”“威脅行爲者部署了VIRTUALPITA和VIRTUALPIE來建立持久性,允許繼續訪問管理程序和客戶計算機。”
或者,在實施互聯網訪問限制的FortiManager設備上,威脅行爲者據說已經從與CASTLETAP妥協的FortiGate防火牆轉向,在網絡管理系統上刪除名爲REPTILE(“/bin/klogd”)的反向shell後門,以重新獲得訪問權限。
UNC3886在這個階段還使用了一種名爲TABLEFLIP的實用程序,這是一種網絡流量重定向軟件,可以直接連接到FortiManager設備,而不考慮已經設置的訪問控制列表(ACL)規則。
這遠遠不是中國的敵對集體第一次針對網絡設備分發定製的惡意軟件,最近的攻擊利用了Fortinet和SonicWall設備的其他漏洞。
根據Rapid7的數據,威脅行爲者開發和部署漏洞的速度比以往任何時候都快,在公開披露後的七天內,多達28個漏洞被利用,比2021年增長12%,比2020年增長87%。
這也很重要,尤其是因爲與中國合作的黑客團隊已經變得“特別精通”利用零日漏洞和部署自定義惡意軟件來竊取用戶憑據,並保持對目標網絡的長期訪問。
“活動……進一步證明,先進的網絡間諜威脅行爲者正在利用任何可用的技術來持續和穿越目標環境,特別是那些不支持EDR解決方案的技術,”曼迪昂特說。
聲明:本文相關資訊來自thehackernews,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站處理。
 
 
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章