Компания Mandiant отслеживает предполагаемую кампанию China-nexus, которая, как считается, использовала недавно объявленную уязвимость в FortiOS SSL-VPN от Fortinet, CVE-2022-42475, как нулевой день. Данные свидетельствуют о том, что эксплуатация происходила еще в октябре 2022 года, а в качестве целей были определены европейская правительственная организация и поставщик управляемых услуг, расположенный в Африке.
В рамках расследования компания Mandiant обнаружила новую вредоносную программу, которую отслеживает под названием "BOLDMOVE". Mandiant обнаружили вариант BOLDMOVE для Windows и вариант для Linux, который специально разработан для работы на брандмауэрах FortiGate. Mandiant считает, что это последняя из серии китайских операций кибершпионажа, направленных на устройства, выходящие в Интернет, и ожидаем, что эта тактика будет оставаться предпочтительным вектором вторжения для хорошо обеспеченных китайских групп.
Indicators of Compromise
MD5
- 12e28c14bb7f7b9513a02e5857592ad7
- 3191cb2e06e9a30792309813793f78b6
- 54bbea35b095ddfe9740df97b693627b
SHA256
- 0184e3d3dd8f4778d192d07e2caf44211141a570d45bb47a87894c68ebebeabb
- 3da407c1a30d810aaff9a04dfc1ef5861062ebdf0e6d0f6823ca682ca08c37da
- 61aae0e18c41ec4f610676680d26f6c6e1d4d5aa4e5092e40915fe806b679cd4