Chinese hackers misbruiken FortiOS zero-day kwetsbaarheid om nieuwe malware te verspreiden

data breach

malware

network threats

AI gegenereerde afbeelding

Mandiant heeft verschillende versies van BOLD MOVE geïdentificeerd, variërend in hun mogelijkheden, maar een kernset van functies blijft aanwezig in alle monsters, waaronder de volgende:- Systeemonderzoek uitvoeren- Commando's ontvangen van de C2-server- Een externe shell genereren- Verkeer doorgeven via de geïnfecteerde hostBOLDMOVE ondersteunt een aantal commando's waarmee bedreigers op afstand de volgende dingen kunnen doen:- Bestanden beheren- Commando's uitvoeren- Interactieve shell maken- Backdoor controleHet vermoeden bestaat dat de Windows-versie van de malware bijna een jaar voor de Linux-versie in 2021 werd gecompileerd. Dientengevolge worden de volgende stappen ondernomen om dit doel te bereiken:-- Ophalen van zijn eigen pad uit /proc/self/exe- Verkrijgen van een inode uit dit resulterende pad via fstatat- Verkrijgen van een secundaire inode uit het statisch gedefinieerde pad /bin/wxd- Vergelijken van deze twee inode recordsHet is belangrijk op te merken dat de Linux versie van de software een belangrijke functie heeft die het mogelijk maakt om specifiek met FortiOS apparaten te werken, in tegenstelling tot de Windows versie, en het is een van de belangrijkste verschillen tussen hen. In december maakte Fortinet de kwetsbaarheid echter publiekelijk bekend en drong er bij zijn klanten op aan actie te ondernemen om hun apparaten te patchen, omdat was ontdekt dat kwaadwillenden actief misbruik maakten van het lek.

Bron leestijd: 2 min - gbhackers.com

Ook beschikbaar in het: English

Meer nieuws voor jou