- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
Киберпреступники эксплуатировали уязвимость переполнения буфера на основе кучи CVE-2022-42475 (CVSS: 9.8), которая могла позволить удаленному неавторизованному злоумышленнику выполнить произвольный код с помощью специально созданных запросов.
Конечной целью цепочки заражения являлось развертывание универсального имплантата Linux, модифицированного для FortiOS, который оборудован для компрометации программного обеспечения системы предотвращения вторжений Fortinet (Intrusion Prevention System, IPS) и установления соединения с удаленным сервером для загрузки дополнительных вредоносных программ и выполнения команд.
Fortinet не смогла восстановить полезную нагрузку, которая использовалась на последующих этапах атак. Когда именно произошло вторжение, не сообщается.
Кроме того, хакеры использовали запутывание кода, чтобы помешать анализу, а также «расширенные возможности» для управления журналами FortiOS и прекращения процессов журналирования, чтобы оставаться незамеченными. Fortinet отметила, что эксплойт требует «глубокого понимания FortiOS и базового оборудования», а это означает, что злоумышленник обладает навыками реверс-инжиниринга различных частей FortiOS.
Обнаруженный образец Windows показал артефакты, которые были скомпилированы на машине в часовом поясе UTC+8, в который входят Австралия, Китай, Россия, Сингапур и другие страны Восточной Азии.
