FortiOS SSL-VPNで新たに見つかった脆弱性CVE-2022-42475のエクスプロイトについて、マンディアントが中国からの攻撃の可能性を指摘しました。また、その攻撃においてBOLDMOVEという新しいバックドアマルウェアが使われているということです。
新たなバックドアBOLDMOVE
Fottinetの発表では攻撃のターゲットを政府または政府関連としていたことから、前回の「FottiOS SSL-VPNで新たに見つかった脆弱性CVE-2022-42475を悪用している攻撃者とは?」の記事で、ターゲットはアメリカ政府やアメリカ政府関連の組織と書いてしまったのですが、マンディアントによると攻撃を受けているのはアメリカ政府ではなくヨーロッパの政府機関だということです。また、アフリカにあるマネージドサービスプロバイダーも標的になっているようです。
マンディアントによると、このエクスプロイトは2022年10月には行われており、BOLDMOVEという新しいバックドアが使われているということです。BOLDMOVEはFortiGateのファイアウォール上で動作するように特別に設計されているマルウェアで、C言語で書かれておりLinuxバージョンとWindowsバージョンがあるようです。BOLDMOVEが実行されるとシステムを調査して制御したり、C2サーバーからコマンドを受信することができるようになるということです。CVE-2022-4247のエクスプロイトに成功した後、BOLDMOVE Linux 亜種が Fortinet デバイスに展開されたということです。マンディアントは、CVE-2022-4247のエクスプロイトはBOLDMOVEの配信が目的の可能性があると指摘しています。一方でWindowsバージョンについてはどのように感染に至ったのか不明だとしています。
また、BOLDMOVEには拡張版があり、拡張バージョンでは、攻撃者がフォーティネットの内部サービスにリクエストを送信できるようにするコマンドが含まれており、デバイス設定を変更したり、関連するネットワークの内部をインターネットに公開したりする可能性があるということです。
ネットワークデバイスが盲点になっている
マンディアントはCVE-2022-42475のエクスプロイトについて、管理されたセキュリティ目的で使用されるデバイス (ファイアウォール、IPS/IDS など) を悪用する中国のパターンを引き継いでいると分析し、一連の中国のサイバースパイ活動の最新の攻撃との見方をしています。UTC+8タイムゾーンで漢字表示によるマシンでマルウェアの開発がコンパイルされているとみられることやネットワーキングデバイスのゼロティ脆弱性の悪用とそれに続くカスタムインプラントのインストールという手法は中国のこれまでの攻撃手法と一致するということです。
インターネットに接続する管理されたネットワークデバイスには悪意のあるプロセスを検出するメカニズムも、脆弱性が悪用された後にプロアクティブにハントするテレメトリもないとマンディアントは言います。つまりネットワークデバイスのセキュリティは盲点であり、攻撃者はそうしたらデバイスに潜んで長期間ステルスを維持しながら標的のネットワークに足場を築くことが可能だということです。中国は世界中の組織が使用する電気通信およびネットワーキングアーキテクチャにサイバーキャンペーンを組み込むことに長年関心をもっている可能性があり、今回のCVE-2022-42475のエクスプロイトとBOLDMOVEの配信はそうした中国のサイバースパイ活動の動向と合致するとマンディアントは指摘しています。
■出典
https://www.mandiant.com/resources/blog/chinese-actors-exploit-fortios-flaw
https://thecyberexpress.com/new-malware-boldmove-fortios-detected/