지난 달 포티넷(Fortinet)이 해결한 FortiOS SSL-VPN의 제로데이 취약점이 알려지지 않은 행위자에 의해 정부 및 기타 대규모 조직을 대상으로 한 공격에 악용되었다고 더해커뉴스가 보도했다. 

보도에 따르면, 포티넷 연구원은 이번 주에 발표된 사후 분석에서 "이 익스플로잇의 복잡성은 고급 행위자를 암시하며 정부 또는 정부 관련 표적을 표적으로 삼고 있음을 시사한다."라고 밝혔다.

이 공격에는 인증되지 않은 원격 공격자가 특별히 제작된 요청을 통해 임의의 코드를 실행할 수 있는 힙 기반 버퍼 오버플로우 결함인 CVE-2022-42475가 악용되었다.

회사에서 분석한 감염 체인에 따르면 최종 목표는 포티넷의 침입 방지 시스템(IPS) 소프트웨어를 손상시키고 추가 맬웨어를 다운로드하고 명령을 실행하기 위해 원격 서버와의 연결을 설정하는 FortiOS용으로 수정된 일반 Linux 임플란트를 배포하는 것이었다.

포티넷은 공격의 후속 단계에서 사용된 페이로드는 복구할 수 없다고 밝혔고, 침입이 언제 발생했는지는 알리지 않았다.

또한 난독화를 사용하여 분석을 방해하고 FortiOS 로깅을 조작하고 로깅 프로세스를 종료하여 감지되지 않도록 하는 고급 기능을 가지고 있다.

연구원들은 "FortiOS의 이벤트 로그인 elog 파일을 검색한다. 메모리에 압축을 푼 후 공격자가 지정한 문자열을 찾아 삭제하고 로그를 재구성한다."고 설명했다.

또한 익스플로잇이 "FortiOS 및 기본 하드웨어에 대한 깊은 이해"를 필요로 하며 위협 행위자가 FortiOS의 다른 부분을 리버스 엔지니어링할 수 있는 기술을 보유하고 있다고 언급했다.

연구원은 "공격자가 발견한 Windows 샘플은 호주, 중국, 러시아, 싱가포르 및 기타 동아시아 국가를 포함하는 UTC+8 시간대의 컴퓨터에서 컴파일된 아티팩트를 보여준다."라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!