بهره برداری هکرهای چینی از آسیب پذیری Zero-day موجود در FortiOS

Mandiant گزارش داده است که گروهی از هکرهای چینی از آسیب پذیری موجود در FortiOS SSL-VPN که اخیرا به عنوان یک آسیب پذیریZero-day کشف شده است، بهره برداری کرده اند.

هکرها به سازمانهای گوناگونی در کشورهای مختلف با بدافزار جدیدی بنام BOLDMOVE حمله کرده اند. این بدافزار قابلیت آلودگی سیستم عامل های ویندوز و لینوکس را دارد.
این آسیب پذیری با شماره شناسایی CVE-2022-42475 در ماه نوامبر توسط Fortinet رفع شده است(وجود حفره امنیتی Zero-day در FortiOS SSL-VPN و بهره برداری از آن در حملات)
مهاجم احراز هویت نشده می تواند از این آسیب پذیری بهره برداری کرده و امکان اجرای کد از راه دور یا کرش دستگاه هدف از راه دور را داشته باشد.
در نهایت Fortinet جزییاتی از این بهره برداری منتشر کرد. آنها می گویند که مهاجمان سازمانهای دولتی را با استفاده از بدافزار ساخته شده خاص خود هدف قرار داده که صرفا برای اقدام در FortiOS طراحی شده است.
هدف هکرها این بود که با استفاده از بدافزار سفارشی در فرآیندهای گزارش FortiOS، دستکاری کرده و جای خود را بر روی دستگاه های مورد نظر حفظ کنند. بدافزار برنامه ریزی شده تا به فرآیندهای ورود وصله شوند تا ورودی های خاصی را حذف کرده یا تمامی لاگین ها را غیر فعال کنند تا قابل شناسایی نباشد.

بدافزار BOLDMOVE

این بدافزار backdoor در دسامبر سال گذشته کشف و مشخص شد که از آسیب پذیری موجود در FortiOS استفاده می کند.
بدافزار BOLDMOVE با زبان برنامه نویسی C نوشته شده و ورژن هایی دارد که می تواند هم روی سیستم عامل ویندوز و هم لینوکس اجرا شود. نسخه لینوکسی بدافزار به طور خاص دستگاههای Fortinet را هدف قرار داده است، به طوریکه قادر است اطلاعات را از فایل خاصی که در Fortinet وجود دارد، بخواند.
ورژن های مختلف این بدافزار تفاوت های مختلفی با یکدیگر دارند اما ویژگی های زیر در همه آنها مشترک است :

• اجرای بررسی سیستم
• دریافت دستور از سرور C2
• تولید یک پوسته راه دور
• افزایش ترافیک از طریق هاست آلوده

این بدافزار از تعدادی دستورات پشتیبانی می کند که به مهاجم اجازه اجرای موارد زیر را از راه دور میدهد:

• مدیریت فایلها
• اجرای دستورات
• ایجاد پوسته در ارتباط
• کنترل backdoor

آنچه که مشخص است این است که نسخه ویندوزی بدافزار حدود یکسال قبل از نسخه لینوکسی ایجاد شده است.

ورژن گسترش یافته BOLDMOVE

تمامی قابلیت های برجسته ورژن های قبلی در ورژن جدیدتر این بدافزار به همراه قابلیت های جدیدی وجود داد. به علاوه Execution Guardrails در این ورژن تازه وجود دارد که تایید می کند مسیر مشخصی برای اجرا استفاده شده است.

در نتیجه اقدامات زیر برای رسیدن به هدف انجام می شود:

• بازیابی مسیر خود از proc/self/exe
• به دست آوردن یک inode از این مسیر حاصل از طریق fstatat
• به دست آوردن inode ثانویه به صورت ایستا از مسیر مشخص /bin/wxd
• مقایسه دو رکورد inode

مهم است که توجه داشته باشید نسخه لینوکسی نرم افزار یک قابلیت قابل توجه داشته که اختصاصا اجازه کار با دستگاههای FortiOS را میدهد، برخلاف نسخه ویندوزی و این یکی از عمده تفاوت های این دو نسخه می باشد.

IOCs:
• MD5: 12e28c14bb7f7b9513a02e5857592ad7
• SHA256: 3da407c1a30d810aaff9a04dfc1ef5861062ebdf0e6d0f6823ca682ca08c37da
• Extended BOLDMOVE
• MD5: 3191cb2e06e9a30792309813793f78b6
• SHA256: 0184e3d3dd8f4778d192d07e2caf44211141a570d45bb47a87894c68ebebeabb
• Windows version of BOLDMOVE
• MD5: 54bbea35b095ddfe9740df97b693627b
• SHA256: 61aae0e18c41ec4f610676680d26f6c6e1d4d5aa4e5092e40915fe806b679cd4

منبع: https://gbhackers.com/