패치된 포티넷 결함이 여전히 중국 해커에 의해 악용되고 있습니다.
중국 해커들이 최근 포티넷의 FortiOS 소프트웨어에서 발견된 제로데이 취약점을 이용해 멀웨어를 배포하는 것이 발견되었습니다.
CVE-2022-42475(CVSS 점수 9.8)는 인증되지 않은 원격 공격자가 조작된 요청을 통해 코드 또는 명령을 실행하는 데 악용될 수 있는 버퍼 오버플로 취약점입니다. FortiOS SSL-VPN 버전 7.2.0 - 7.2.2, 7.0.0 - 7.0.8, 6.4.0 - 6.4.10, 6.2.0 - 6.2.11, 6.0.15 이하, FortiProxy SSL-VPN 버전 7.2.0 - 7.2.1, 7.0.7 이하가 이 결함의 영향을 받습니다.
맨디언트는 이 새로운 멀웨어를 "BOLDMOVE"로 확인했습니다. 또한, 맨디언트는 BOLDMOVE의 Windows 변종과 FortiGate 방화벽에서 실행되도록 특별히 설계된 Linux 변종도 발견했다고 밝혔습니다. 국가가 후원하는 것으로 추정되는 해커들은 이 취약점을 악용하여 멀웨어를 전달하고 민감한 데이터에 액세스하고 있습니다.
BOLDMOVE는 시스템 조사를 수행하기 위한 것으로, 명령 및 제어(C2) 서버로부터 명령을 수신할 수 있어 공격자가 파일 작업을 수행하고 원격 셸을 실행하며 감염된 호스트를 통해 트래픽을 중계할 수 있도록 합니다.
맨디언트는 웹사이트를 통해 "이번 공격은 인터넷에 연결된 기기를 노린 일련의 중국 사이버 스파이 활동 중 가장 최근의 공격이며, 이 전술은 앞으로도 자금력이 풍부한 중국 그룹이 선택하는 침입 벡터가 될 것으로 예상합니다."라고 말했습니다.
위협 인텔리전스 업체는 "공격자들은 볼드무브를 통해 익스플로잇뿐만 아니라 시스템, 서비스, 로깅 및 문서화되지 않은 독점 형식에 대한 심층적인 이해를 보여주는 멀웨어를 개발했습니다."라고 말했습니다.
맨디언트는 취약점이 악용되는 것을 직접 관찰하지는 못했다고 밝혔지만, BOLDMOVE Linux 변종의 샘플에는 포티넷이 악용에 관여한 것으로 확인한 하드 코딩된 C2 IP 주소가 있으며, 이는 CVE-2022-49475가 BOLDMOVE를 전달하는 데 악용되었음을 시사합니다. 맨디언트는 또한 Linux 버전 외에 윈도우 버전도 공개했습니다. 윈도우용 BOLDMOVE는 빠르면 2021년에 컴파일된 것으로 보입니다. 하지만 맨디언트는 이 멀웨어가 실제로 작동하는 것을 보지 못했기 때문에 이 멀웨어가 어떻게 사용되었는지는 알 수 없습니다. 이 게시물에는 이 멀웨어에 대한 심층 분석이 포함되어 있습니다.
C로 작성된 이 멀웨어는 Windows와 Linux 버전으로 제공되며, 후자는 포티넷 전용 파일 형식에서 데이터를 읽을 수 있는 것으로 알려져 있습니다. 메타데이터 분석에 따르면 이 백도어의 Windows 변종은 2021년까지 컴파일되었지만 야생에서 샘플은 발견되지 않았습니다.
이 글의 출처는 BleepingComputer의 기사입니다.