圖片來源: Nemanja Jeremic on unsplash
安全廠商發現一個疑似中國的駭客組織濫用Fortinet SSL VPN的已知漏洞植入後門程式Boldmove。
Fortinet去年12月公告SSL VPN存在重大漏洞CVE-2022-42475,是出於FortiOS的sslvpnd模組的記憶體緩衝區溢位漏洞,成功濫用可讓未經驗證的使用者遠端癱瘓SSL VPN設備,或是執行任意程式碼。
上周Fortinet說明他們去年底發現到的一些Windows惡意程式的攻擊行動,會刪除紀錄檔以躲避偵測及長期滲透、有的則破壞入侵偵測(IPS)功能。這些樣本來自協調時區+8的機器上組譯,顯示可能落在澳洲、俄羅斯、中國、新加坡等其他國家,針對政府單位及相關組織所發動精準攻擊行動。
本周稍早安全廠商Mandiant也公布了針對CVE-2022-42475的零時差攻擊研究,基本上,是讓Fortinet未講明的資訊更為具體化。Mandiant將發現到的惡意程式稱為Boldmove。Boldmove是一隻以C撰寫的後門程式,針對Windows和Linux各有一種變種,專門設計讀取FortiGate防火牆的檔案。研究發現,Boldmove的Linux變種有一個寫死的C2 IP位址,也同時被Fortinet列為濫用行動的IP位址,判斷駭客已濫用CVE-2022-49475植入Boldmove。
該公司也判讀Windows變種至少在2021年已組譯出來。Mandiant點名Boldmove是中國國家駭客的攻擊行動,因為攻擊符合中國駭客的行徑,包括鎖定以防火牆、IPS/IDS等可由外部存取的裝置。
研究人員指出,開發濫用連網安全裝置漏洞的程式需要豐沛的組織資源,因此往往被用在十分重要,包括政府單位及國防部門的目標身上。值得一提的是,這類裝置之所以為中國駭客偏好,是因為可不需受害者互動攻擊者就能存取網路、控制運作時機、減低被偵測的機率。
更重要的是,這些裝置只有簡單配置和檢視紀錄檔的工具,並沒有簡單機制讓用戶檢視其中運作了什麼行程,也不允許安裝額外安全產品,像是端點偵測回應(Endpoint Detection and Response,EDR),且只有裝置製造商才能存取核心安全功能。
根據證據,Mandiant研判攻擊最早從2022年10月即開始,受害者包括歐洲政府單位和一家非洲代管服務供應商。不過由於研究人員尚未看到Boldmove廣泛使用,因此無法確定其用途為何。
熱門新聞
2024-12-08
2024-12-08
2024-12-08
2024-11-29