В середине 2022 года компания Mandiant в сотрудничестве с Fortinet исследовала эксплуатацию и развертывание вредоносного ПО на нескольких решениях Fortinet, включая FortiGate (межсетевой экран), FortiManager (решение для централизованного управления) и FortiAnalyzer (платформа управления журналами, аналитики и отчетности).
Следующие шаги в целом описывают действия, которые предпринял агент угрозы:
- Использовал эксплойт нулевого дня (CVE-2022-41328) для обхода локальных каталогов, чтобы записывать файлы на диски межсетевого экрана FortiGate за пределами обычных границ, разрешенных при доступе через оболочку.
- Поддерживался постоянный доступ с привилегиями супер администратора в межсетевых экранах FortiGate через стук в ICMP порт.
- Обход правил брандмауэра, действующих на устройствах FortiManager, с помощью утилиты пассивного перенаправления трафика, что позволяло продолжать соединения с постоянными бэкдорами с привилегиями супер администратора.
- Установил постоянство на устройствах FortiManager и FortiAnalyzer через пользовательскую конечную точку API, созданную внутри устройства
- Отключение проверки цифровой подписи OpenSSL 1.1.0 системных файлов путем целенаправленного повреждения загрузочных файлов.
Mandiant приписывает эту активность UNC3886, группе, которая, как мы подозреваем, имеет китайское происхождение и связана с новой структурой вредоносного ПО для гипервизора VMware ESXi, раскрытой в сентябре 2022 года. Во время компрометации гипервизора ESXi компания Mandiant неоднократно наблюдала прямое подключение UNC3886 с устройств FortiGate и FortiManager к бэкдорам VIRTUALPITA.
Mandiant подозревает, что устройства FortiGate и FortiManager были скомпрометированы из-за соединений с VIRTUALPITA с IP-адресов управления Fortinet. Кроме того, устройства FortiGate, соответствующие федеральным стандартам обработки информации (FIPS), были скомпрометированы.
Indicators of Compromise
MD5
- 3e43511c4f7f551290292394c4e21de7
- 53a69adac914808eced2bf8155a7512d
- 64bdf7a631bc76b01b985f1d46b35ea6
- 88711ebc99e1390f1ce2f42a6de0654d
- 9ce2459168cf4b5af494776a70e0feda
- a388ebaef45add5da503e4bf2b9da546
- a86a8fe875a89816e5808588154a067e
- b6e92149efaf78e9ce7552297505b9d5
- e2d2884869f48f40b32fb27cc3bdefff
SHA1
- 1a077212735617a665a6b631e34a6aedcbc41713
- 3109b890901499f7ebb90f8870a7d1617d27e7c9
- 75c092098e3409d366a46fdde6a92ff97d29cee1
- 86f3623b3fb8d5303b6c9d8295292a5c2ceb2889
- 8c40fc87fa3b25a559585b10a8ca11c81fb09f75
- 8ef5159944d048fe84e51a818c9b11ebcfa98517
- 9dca7f1af5752bb007e5cc55acd2511f03049ee5
- b8bdaa1bd204a6c710875b0c4265655d1fd37d52
- d5f8436e9815358e33b8243abda76c9b398943e2
SHA256
- 18afbad17dee0e4330a85b782e8e580c6125d8a7127cda69ad0e2728d505a6f5
- 2266667af7532a32b9c21c330a9fe56356ca66610e39654804a7262f2af61017
- 245e4646e5d984c2da4cfe223bb2fae679441bcf42b254fc193ae97dc32af7ad
- 33c22b2db8c0948c67204485972d2eb856e13dca16132371337fc3534e3df16d
- 4e4c5e5ca588bd84b67a37b654ec522768fa83e535ff795a5c196da8f8b9737d
- 9fb09fe6db61fbdd19ac9c368e2f64fb9606119649830762fa467719c480ed44
- a00fed53b1ece4610c8b52934c20af3667d455f092a77f8d9bc46fdb9047e41a
- abefe121e5c895bf63be80152ccbe2d7bb5ad985aa3ab989bcb7c0804b90d004
- eb6af99148f0ce5b58e414162ff2b7567b4cf08953862a088996365ff306014b