Hacker ชาวจีนถูกสงสัยว่า ได้มีการคุกคามจากช่องโหว่ Zero day ของ FortiOS SSL VPN ซึ่งถูกเปิดเผยออกมาในเดือนธันวาคม โดยมีเป้าหมายไปที่ European government และ African MSP ด้วย Malware ในเชื่อ BOLDMOVE ซึ่งมีเวอร์ชั่นที่เป็นของ Linux และ Windows โดยใช้ช่องโหว่ CVE-2022-42475 แต่ถูกแก้ไขแล้วโดย Fortinet ในเดือนพฤศจิกายน และได้เปิดเผยในเดือนธันวาคม ให้ขอให้ลูกค้าทำการ patch อุปกรณ์ที่มีช่องโหว่ดังกล่าว
โดยช่องโหว่นี้ จะอนุญาติให้ผู้โจมตีสามารถ Remote มาโจมตีได้ โดยไม่ต้องผ่านระบบยืนยันตัวตนใด ๆ โดยสามารถเข้ามาทำให้ อุปกรณ์ขัดข้อง หรือเรียกใช้ Code ต่าง ๆ ได้ ผู้โจมตีจะพยายามทำให้ malware คงอยู่ในเครื่องของเหยื่อนานที่สุด โดยใช้ Custom Malware เข้าไป Patch แก้การทำงานของ FortiOS logging ให้สามารถเลือก Log ที่จะลบได้ หรือปิดการ Logging ทั้งหมด
โดยความสามารถ Backdoor ของ BOLDMOVE ถูกเขียนด้วยภาษา C โดย Hacker ชาวจีน เพื่อจะสามารถเข้าควบคุมอุปกรณ์ของเหยื่อได้ โดยเฉพาะเครื่องที่ใช้ FortiOS บน Linux ซึ่งทาง Mandiant ได้ระบุว่าหลายเวอร์ชันของ BOLDMOVE ที่ต่างกัน แต่แกนหลักของการทำงานหลักจะเหมือนกันดังนี้
- Performing system surveying.
- Receiving commands from the C2 (command
and control) server.
- Spawning a remote shell on the host.
- Relaying traffic through the breached device
โดย Command ของ BOLDMOVE จะอนุญาติให้ผู้ไม่หวังดี Remote เข้ามา Manage files, Execute Commands, Interactive shell creation, Backdoor Control ซึ่งตัวแปรต่างๆของ Linux และ Windows ส่วนใหญ่จะเหมือนกัน แต่แตกต่างกันที่การใช้ Libraries โดยเชื่อว่ามีเวอร์ชันของ Windows ออกมาตั้งแต่ 2021 ก่อนที่อีกหลายเดือนต่อมาจะออกของ Linux
อย่างไรก็ตาม ข้อแตกต่างสำคัญระหว่าง Linux
และ Windows คือ หนึ่งในฟังชั่นของ Linux
มีการมุ่งเป้าหมายไปยัง FortiOS อย่างชัดเจน
ตัวอย่างเช่น BOLDMOVE Linux จะอนุญาติให้ผู้โจมตี สามารถแก้ไข Log บนระบบของเหยื่อ และปิดการ Logging (miglogd และ syslogd) จึงทำให้ยากที่การป้องกันจะตรวจพบ มากไปกว่านั้น ยังสามารถ Requests ไปที่ Internal Fortinet service เพื่อให้ผู้โจมตีสามารถเชื่อมต่อ Network ได้ และกระจาย Malware นี้ไปยังเครื่องอื่นๆ โดย กลไกการป้องกันแบบเดิมไม่ดีนักสำหรับการป้องกันการบุกรุกนี้ เนื่องจาก BOLDMOVE อาศัยจุดบอดของ Network device สำหรับผู้ดูแล ซึ่งทำให้ผู้โจมตีสามารถซ่อนตัวอยู่เครื่องของเหยื่อได้นาน
การที่ BOLDMOVE ทำเป็น Custom-made backdoor ออกมาทำให้เห็นว่า ผู้ไม่ประสงค์ดีมีความเข้าใจการจัดการระบบ
Network เป็นอย่างดี จึงควรติดตามความเคลื่อนไหวของภัยเหล่านี้อย่างใกล้ชิด
ไม่มีความคิดเห็น:
แสดงความคิดเห็น