Уязвимость нулевого дня в FortiOS SSL-VPN, которую Fortinet устранила в декабре, использовалась неизвестными хакерами в атаках на правительства и различные крупные организации.
Киберпреступники эксплуатировали уязвимость переполнения буфера на основе кучи CVE-2022-42475 (CVSS: 9.8) , которая могла позволить удаленному неавторизованному злоумышленнику выполнить произвольный код с помощью специально созданных запросов.
Конечной целью цепочки заражения являлось развертывание универсального имплантата Linux, модифицированного для FortiOS, который оборудован для компрометации программного обеспечения системы предотвращения вторжений Fortinet (Intrusion Prevention System, IPS) и установления соединения с удаленным сервером для загрузки дополнительных вредоносных программ и выполнения команд.
Fortinet не смогла восстановить полезную нагрузку, которая использовалась на последующих этапах атак. Когда именно произошло вторжение, не сообщается.
Кроме того, хакеры использовали запутывание кода, чтобы помешать анализу, а также “расширенные возможности” для управления журналами FortiOS и прекращения процессов журналирования, чтобы оставаться незамеченными. Fortinet отметила , что эксплойт требует “глубокого понимания FortiOS и базового оборудования”, а это означает, что злоумышленник обладает навыками реверс-инжиниринга различных частей FortiOS.
Обнаруженный образец Windows показал артефакты, которые были скомпилированы на машине в часовом поясе UTC+8, в который входят Австралия, Китай, Россия, Сингапур и другие страны Восточной Азии.