少し大事になってきそうなので、『Coathanger』の調査メモ
『Coathanger』というウイルス名自体セキュリティメーカーも公開していないの本記事も順次アップデートしていきます。
今回話題になっているマルウェア
Coathanger
Coathangerは、ネットワーク機器に感染するトロイの木馬型マルウェアです。このマルウェアはオランダの政府機関の一部システムへの侵入が確認されたことで知られています。
- FortiOS SSL-VPNの脆弱性CVE-2022-42475を悪用し、国防省のFortiGateデバイスにマルウェア「Coathanger」を展開
- システムがリブートされる度に自らのバックアップをリブートを担うプロセスへと注入して復活する能力を持つほか、ファームウェアがアップデートされた後もシステムに残存する
→CVE-2024-23108とCVE-2024-23109を利用
BOLDMOVE
BOLDMOVEはC言語で作成された、Fortinet社製機器を攻撃するバックドア・マルウェアです。
Mandiant社の調査によれば、このマルウェアは中国系APTが作成し、2022年以降、欧州政府やアフリカのMSPをターゲットにしたサイバーエスピオナージ活動に利用されています。
BOLDMOVEにはWindows版とLinux版の2種があり、特にLinux版はFortiGateファイアウォールで動作するように設計されています。
BOLDMOVEを解析した結果、Fortinet機器脆弱性(CVE-2022-49475)に対するエクスプロイトに含まれるC2サーバーのIPアドレスがハードコードされていることが判明しています。
BOLDMOVEは実行されるとシステム環境を調査し、C2サーバーからコマンドを受けてファイルシステムの操作、リモートシェルの作成、感染ホストを通じたトラフィックリレーを行います。
参考サイト:https://www.sompocybersecurity.com/column/glossary/boldmove
利用された脆弱性
CVE-2022-42475
https://nvd.nist.gov/vuln/detail/CVE-2022-42475
CVE-2022-42475は、FortiOS SSL-VPNにおけるヒープベースのバッファオーバーフロー脆弱性です。この脆弱性を悪用すると、認証されていない遠隔の攻撃者がシステムを乗っ取る可能性があります。対策として、Fortinetはこの問題を解決するアップデートをリリースしています。
CVE-2024-23108
https://nvd.nist.gov/vuln/detail/CVE-2024-23108
CVE-2024-23108は、Fortinet FortiSIEMのバージョン7.1.0から7.1.1において、OSコマンドインジェクション(特別な要素をOSコマンドに不適切に中和すること)の脆弱性を指摘しています。この脆弱性を悪用すると、攻撃者は対象のシステムに不正なコマンドを注入することが可能になります。
CVE-2024-23109
https://nvd.nist.gov/vuln/detail/CVE-2024-23109
CVE-2024-23109は、Fortinet FortiSIEMのバージョン7.1.0から7.1.1におけるOSコマンドインジェクションの脆弱性です。この問題は、特定の要素をOSコマンドに不適切に中和することにより発生します。
コメント