포티넷 제로 | 혜주목교그룹유한회사

사이버 스파이 위협 행위자는 방화벽, IoT 장치, 하이퍼바이저 및 VPN 기술(예: Fortinet, SonicWall, Pulse Secure 등)과 같이 엔드포인트 탐지 및 대응(EDR) 솔루션을 지원하지 않는 기술을 계속해서 표적으로 삼고 있습니다. Mandiant는 중국 넥서스(China-nexus) 그룹으로 의심되는 그룹이 제로데이 취약점을 악용하고 맞춤형 악성 코드를 배포하여 사용자 자격 증명을 도용하고 장기간 액세스를 유지한 국방 산업 기지(DIB), 정부, 기술 및 통신 조직에서 수십 건의 침입을 조사했습니다. 피해자 환경에.

우리는 사이버 스파이 운영자가 제로데이 취약점을 악용하고 초기 공격 벡터로 인터넷에 노출된 시스템에 맞춤형 악성 코드를 배포하는 것을 종종 목격합니다. 이 블로그 게시물에서는 중국 넥서스(China-nexus) 위협 행위자로 의심되는 사람이 이미 피해자 환경에 액세스한 후 해당 환경에 대한 지속적인 액세스를 유지하기 위한 수단으로 Fortinet 및 VMware 솔루션에 백도어를 배포한 시나리오를 설명합니다. 여기에는 FortiOS(CVE-2022-41328)의 로컬 제로데이 취약점 사용과 Fortinet 및 VMware 시스템에 여러 맞춤형 악성 코드군 배포가 포함되었습니다. Mandiant는 2022년 9월 VMware 악성 코드 생태계에 대한 세부 정보를 게시했습니다.

2022년 중반, Mandiant는 Fortinet과 협력하여 FortiGate(방화벽), FortiManager(중앙 집중식 관리 솔루션), FortiAnalyzer(로그 관리, 분석 및 보고 플랫폼)를 포함한 여러 Fortinet 솔루션 전반에 걸쳐 악성 코드의 악용 및 배포를 조사했습니다. 다음 단계는 일반적으로 위협 행위자가 취한 조치를 설명합니다.

Mandiant는 이 활동을 중국 넥서스가 있고 2022년 9월에 공개된 새로운 VMware ESXi 하이퍼바이저 악성 코드 프레임워크와 연관되어 있는 것으로 의심되는 그룹인 UNC3886에 기인한다고 생각합니다. ESXi 하이퍼바이저가 손상될 당시 Mandiant는 UNC3886이 FortiGate 및 FortiManager에서 직접 연결되는 것을 관찰했습니다. 여러 차례에 걸쳐 VIRTUALPITA 백도어에 장치를 추가했습니다.

Mandiant는 Fortinet 관리 IP 주소에서 VIRTUALPITA로의 연결로 인해 FortiGate 및 FortiManager 장치가 손상되었다고 의심했습니다. 또한 FIPS(연방 정보 처리 표준) 준수 모드가 활성화된 FortiGate 장치는 나중에 재부팅한 후 부팅에 실패했습니다. FIPS 모드가 활성화되면 운영 체제의 체크섬이 깨끗한 이미지의 체크섬과 비교됩니다. 운영 체제가 위협 행위자에 의해 변조되었기 때문에 체크섬 비교가 실패했고 FortiGate 방화벽이 보호적으로 시작되지 못했습니다. Fortinet의 도움으로 Mandiant는 이러한 결함이 있는 장치에 대한 포렌식 이미지를 획득했으며, 이를 통해 백도어 CASTLETAP을 노크하는 ICMP 포트를 발견하게 되었습니다.

Fortinet 생태계의 여러 구성 요소는 VMWare 인프라로 측면 이동되기 전에 UNC3886의 표적이 되었습니다. 손상 당시 이러한 구성 요소와 관련 버전은 다음과 같습니다.

Mandiant는 위협 행위자가 Fortinet 기술을 악용하여 네트워크 액세스를 설정하는 두 가지 뚜렷한 공격 라이프사이클을 관찰했습니다. 첫 번째는 FortiManager 장치가 인터넷에 노출된 동안 위협 행위자가 Fortinet 생태계에 처음으로 액세스할 때 발생했습니다.

그림 1에서 볼 수 있듯이 이 공격 수명주기 동안 합법적인 API 호출(THINCRUST)로 위장한 백도어가 FortiAnalyzer 및 FortiManager 장치 모두에 배포되었습니다. 두 장치 간에 지속성이 설정되면 FortiManager 스크립트를 사용하여 FortiGate 장치 전체에 백도어(CASTLETAP)를 배포했습니다. Mandiant는 Fortinet 장치에서 ESXi 서버로의 SSH 연결을 관찰한 후 VIRTUALPITA 및 VIRTUALPIE 백도어. 이로 인해 위협 행위자가 하이퍼바이저에 지속적으로 액세스할 수 있게 되었고 공격자가 게스트 가상 머신에서 명령을 실행할 수 있게 되었습니다.

Mandiant는 이 게시물을 작성하는 시점에서 초기 액세스 권한을 얻거나 악성 VIB를 배포하는 데 제로데이 취약점이 사용되고 있다는 증거가 없습니다. VIRTUALPITA 및 VIRTUALPIE는 2022년 9월에 게시된 이전 Mandiant 블로그 게시물에서 더 자세히 논의되었습니다.

) that extend the behavior of another function without explicitly modifying the code], the malicious function get_device_info utilized the Django python module native to the system to add a @csrf_exempt decorator to the function as seen in Figure 5. This means that the POST request to the malicious API call did not require a login or CSRF token to successfully run./p> ..../../../../../../bin/lspci.octet./p>

/bin/init/p> /bin/init/p> /bin/sysctl/p> /bin/init/p> /bin/init/p>

/bin/init/p> /bin/init/p> /bin/init/p> /bin/init/p>

/p>/p>/p>/p>/p>/p>/p>/p>/p>/p>

/p>

/bin/sysctl/p>

/dev/null/p>

= 3 and #x6 == 1 and filesize < 15MB/p>

= 3 and #x7 == 1 and filesize < 15MB /p>