新たなサイバーセキュリティ調査により、脅威アクターが旧式のFortiWebアプライアンスを悪用してSliverコマンド&コントロール(C2)フレームワークを展開し、世界中の標的に対して永続的なアクセスを獲得していたことが明らかになった。
このキャンペーンはCensys上でのオープンディレクトリ脅威ハンティング中に検出され、露出したSliverのデータベースとログから広範な侵害活動が判明した。
影響を受けたFortiWebデバイスの多くは5.4.202から6.1.62までの旧バージョンを実行しており、統合された検知および監視機能を欠いていた。
FortiWebに対して使用された正確なエクスプロイトは不明のままだが、デバイスはいずれも大幅に旧式だった。侵害後、攻撃者はオープンソースのSliver C2ツールキットを展開し、バイナリ名を「system-updater」に変更して、/the/bin/.root/system-updater のパスに配置した。
コマンドハブとして2つの主要C2サーバーが特定された:ns1.ubunutpackages[.]store と ns1.bafairforce[.]army で、いずれも自律システム62005の下で登録されていた。
運用者はこれらのサーバーを欺瞞的なウェブサイトの背後に隠し、偽の「Ubuntu Packages」ページや、バングラデシュ空軍の募集サイトを模したページなどを用意していた。
バングラデシュをテーマにしたインフラは、同国に所在する複数の被害者と密接に一致しており、この作戦が機会的なものではなく、標的型であった可能性を示している。
2025年12月22日から12月30日にかけて、研究者はこれらのSliverインスタンスにビーコン通信する30件のユニークな被害者IPを記録しており、バングラデシュ、パキスタン、インド、南アフリカ、米国に拠点を置く組織が含まれていた。
永続性を維持するため、脅威アクターは「Updater Service」と「rootbinary」という名称で悪意のあるsystemdおよびsupervisorサービスを設定した。
これにより、システム起動時またはプロセス障害後にSliverバイナリが自動実行されることが保証され、MITRE ATT&CKの永続化手法T1543.002に該当する。
永続化にとどまらず、攻撃者はFast Reverse Proxy(FRP)ツールを展開してアクセスを拡大しており、これは45.83.181[.]160:8003の公開サーバーからダウンロードされていた。
FRPサービスは内部ネットワークリソースを外部ネットワークに公開するために使用され、その結果、侵害されたFortiWebホストがリモートコマンド実行のためのプロキシノードへと変えられた。
さらに、攻撃者はSOCKSプロキシ用にMicrosocksを使用し、バイナリを「cups-lpd」に偽装して、ポート515上の正規のCUPS印刷デーモンを模倣した。
このバイナリには任意のハードコードされた認証情報まで含まれており、特定の実行時オプションで設定した場合に、リモートから認証済みアクセスを可能にしていた。
このキャンペーンは、エンドポイント保護や脅威テレメトリを欠く旧式のエッジアプライアンスがもたらす継続的なリスクを浮き彫りにしている。
適切な監視がなければ、これらのデバイスは、Sliverのような侵害後フレームワークを展開する攻撃者にとって理想的な足掛かりとなり、企業ネットワーク全体にわたる長期かつ検知されにくいアクセスを可能にする。
翻訳元: https://cyberpress.org/fortiweb-sliver-c2-attack/