TokyoBlackHatNews

gbhackers.com 4分で読了

攻撃者がFortiWebの脆弱性を悪用し、長期アクセスのためにSliver C2を展開

脅威研究者は、複数の大陸にわたってFortiWeb Webアプリケーションファイアウォールを標的とする高度な攻撃キャンペーンを発見しました。攻撃者はSliverのコマンド&コントロール(C2)フレームワークを展開し、永続的なアクセスを確立するとともに、秘匿性の高いプロキシ基盤を構築していました。

この発見は、Censysでの定期的なオープンディレクトリ脅威ハンティング中に見つかった、露出したSliver C2のデータベースとログを分析したことによるものです。これにより、旧式のFortiWebデバイスに存在する公開(インターネット)向けの脆弱性を悪用した、周到に組織された作戦が明らかになりました。

脅威アクターは、複数のFortiWebアプライアンスに存在する公開向けの脆弱性を悪用して初期アクセスを獲得し、特に5.4.202から6.1.62までの旧バージョンを標的にしていました。

研究者は、攻撃者がReact2ShellCVE-2025-55182)を、未知のFortiWeb脆弱性と併用して被害者インフラを侵害した証拠を回収しました。

FortiWeb向けエクスプロイトの概念実証(PoC)コードが存在しないことから、脅威アクターがゼロデイ脆弱性を狙っていた、またはまだ公に開示されていない武器化済みエクスプロイトを利用していた可能性が示唆されます。

コマンド&コントロール基盤

調査では、Sliverインスタンスをホストする2つの主要C2ドメイン(ns1.ubunutpackages[.]store と ns1.bafairforce[.]army)が特定されました。

脅威アクターは、正規サービスになりすましたデコイWebサイト(偽のUbuntu Packagesリポジトリと、バングラデシュ空軍の採用ページを装った偽サイト)を作成するなど、高い巧妙さを示しました。

C2作成タイムスタンプの分析によって明らかになったところでは、最初のドメインは2024年9月に登録されていましたが、被害者の取り込みは2025年12月22日〜30日の間に急増し、わずか8日間で30のユニークホストが侵害されました。

攻撃者はsystemdサービスとsupervisor設定の改変により永続化を確立し、Sliverバイナリを/bin/.root/system-updaterにあるシステム更新プロセスに偽装していました。

コマンド実行とラテラルムーブメントを容易にするため、脅威アクターはFast Reverse Proxy(FRP)と、偽装したmicrosocksのSOCKSプロキシを展開し、これを「cups-lpd」に改名してポート515にバインドし、正規のCUPS Line Printer Daemonになりすましました。この欺瞞手法は、相当な運用上の規律を示しています。

IP addresses within Sliver databases with the FRP server.
 FRPサーバーを伴うSliverデータベース内のIPアドレス。

被害者分析では、パキスタンとバングラデシュに標的が集中していることが明らかになり、金融および政府部門の複数の被害者が確認されました。

バングラデシュをテーマにしたデコイ基盤の選択は、観測された被害者の所在地と整合しており、この作戦が無差別ではなく、より標的型であったことを示唆します。

バイナリを分析すると、SOCKSサービスがポート515で公開されることが分かります。これは、正規のLinux CUPS Line Printer Daemonが待ち受ける想定ポートであるため注目すべき点です。

Image
Linux CUPS Line Printer Daemon。

しかし、より広範な脅威は、根本的なセキュリティ上の盲点にあります。FortiWebアプライアンスや同様のエッジデバイスには通常、エンドポイント検知・対応(EDR)機能が組み込まれておらず、組織が後付けのセキュリティツールを導入することも稀です。

重大な検知ギャップ

この研究は、重大な検知上の課題を浮き彫りにしています。多くの組織は従来型エンドポイントを監視する集中型のEDRソリューションに依存しており、アプライアンスレベルの侵害はほとんど可視化されません。

研究者は、このキャンペーンの証拠が明らかになったのは、脅威アクターが運用ログとデータベースを誤って露出させたために過ぎないと指摘しています。これは、同様の攻撃が強固なネットワーク境界デバイス上で未検知のまま持続している可能性がどれほどあるかを痛感させるものです。

このキャンペーンは、エッジアプライアンスに対する代替的な統制(補完的コントロール)を実装する必要性を強調しています。具体的には、セキュリティ監視、レガシーデバイスの更新を優先する脆弱性管理プログラム、侵害された境界からのラテラルムーブメントを制限するネットワークセグメンテーションなどが含まれます。

名称を変更したユーティリティや正規に見えるサービスを巧妙に用いる手口は、従来のセキュリティツールでは可視性が限定される環境において、脅威アクターが検知回避のために戦術・技術を適応させていることを示しています。

翻訳元: https://gbhackers.com/fortiweb-vulnerabilities/

ソース: gbhackers.com
#EDR検知ギャップ #FortiWeb #FRP(Fast Reverse Proxy) #React2Shell(CVE-2025-55182) #Sliver C2 #SOCKSプロキシ #Webアプリケーションファイアウォール(WAF) #ゼロデイ #永続化(systemd) #脆弱性悪用

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚