La explotación de día cero de una vulnerabilidad de gravedad media ahora parcheada en el sistema operativo Fortinet FortiOS se ha relacionado con un presunto grupo de piratas informáticos chinos.
La firma de inteligencia de amenazas Mandiant, que hizo la atribución, dijo que el grupo de actividades es parte de una campaña más amplia destinada a implementar puertas traseras para las soluciones de Fortinet y VMware y mantener el acceso persistente a los entornos de las víctimas.
La propia compañía de inteligencia de amenazas y respuesta a incidentes de Google está rastreando la operación maliciosa por su apodo no categorizado. UNC3886un actor de amenazas de China Nexus.
«UNC3886 es un grupo de ciberespionaje avanzado con capacidades únicas en la forma en que operan en la red y las herramientas que utilizan en sus campañas», dijeron los investigadores de Mandiant en un análisis técnico.
“Se ha observado que UNC3886 se dirige a tecnologías de firewall y virtualización que carecen de compatibilidad con EDR. Su capacidad para manipular el firmware del firewall y explotar un día cero sugiere que han desarrollado una comprensión más profunda de tales tecnologías”.
Vale la pena señalar que el atacante se asoció previamente con otro conjunto de ataques dirigidos a servidores VMware ESXi y Linux vCenter como parte de una campaña de hiperjacking destinada a eliminar puertas traseras como VIRTUALPITA y VIRTUALPIE.
La última divulgación de Mandiant se produce cuando Fortinet reveló que las agencias gubernamentales y las grandes organizaciones han sido acosadas por un actor de amenazas no identificado al explotar un error de día cero en el software FortiOS de Fortinet para provocar la pérdida de datos y la corrupción del sistema operativo y los archivos.
La vulnerabilidad, rastreada como CVE-2022-41328 (puntaje CVSS: 6.5), afecta un error de recorrido de ruta en FortiOS que podría conducir a la ejecución de código arbitrario. Fue parcheado por Fortinet el 7 de marzo de 2023.
Según Mandiant, los ataques llevados a cabo por UNC3886 se dirigieron a los dispositivos FortiGate, FortiManager y FortiAnalyzer de Fortinet para implementar dos implantes diferentes, como THINCRUST y CASTLETAP. Una vez más, esto fue posible gracias a la exposición del dispositivo FortiManager a Internet.
THINCRUST es una puerta trasera de Python que puede ejecutar comandos arbitrarios y leer y escribir archivos en el disco.
La persistencia que ofrece THINCRUST se aprovecha para implementar secuencias de comandos de FortiManager que aprovechan el error de cruce de ruta de FortiOS para sobrescribir archivos legítimos y modificar imágenes de firmware.
Esto incluye una carga útil recién agregada llamada «/bin/fgfm» (denominada CASTLETAP) que se presenta ante un servidor controlado por actores para aceptar directivas entrantes, lo que le permite ejecutar comandos, obtener cargas útiles y datos de los hosts comprometidos para exfiltrar .
«Una vez que se implementó CASTLETAP en los firewalls FortiGate, el actor de amenazas se conectó a las máquinas ESXi y vCenter», explicaron los investigadores. «El atacante usó VIRTUALPITA y VIRTUALPIE para establecer la persistencia y permitir el acceso continuo a los hipervisores y las máquinas invitadas».
Alternativamente, en los dispositivos FortiManager que implementan restricciones de acceso a Internet, se dice que el actor de amenazas pasó de un firewall FortiGate comprometido con CASTLETAP a dejar caer una puerta trasera de shell inversa llamada REPTILE («/ bin / klogd») en el sistema de administración de red para recuperar el acceso .
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su organización? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo mitigar el riesgo.
RESERVA TU LUGAR
En esta etapa, UNC3886 también implementa una utilidad llamada TABLEFLIP, un software de redirección de tráfico de red para conectarse directamente al dispositivo FortiManager, independientemente de las reglas de la Lista de control de acceso (ACL) configuradas.
Esta no es la primera vez que los colectivos rivales chinos apuntan a dispositivos de red para distribuir malware personalizado, con ataques recientes que explotan otras vulnerabilidades en dispositivos Fortinet y SonicWall.
La revelación también se produce cuando los actores de amenazas están desarrollando e implementando exploits más rápido que nunca, con hasta 28 vulnerabilidades explotadas dentro de los siete días posteriores a la publicación, un aumento del 12 % desde 2021 y un aumento del 87 % desde 2020, según Rapid7.
Esto también es significativo, sobre todo porque los equipos de piratería alineados con China se han vuelto «particularmente competentes» en la explotación de vulnerabilidades de día cero y en la implementación de malware personalizado para robar las credenciales de los usuarios y mantener el acceso a largo plazo a las redes específicas.
«La actividad […] es una prueba más de que los actores avanzados de amenazas de ciberespionaje utilizan todas las tecnologías disponibles para sobrevivir y atravesar un entorno objetivo, en particular aquellas tecnologías que no son compatibles con las soluciones EDR», dijo Mandiant.