概要:FortiWebの脆弱性を悪用した高度な攻撃
脅威研究者たちは、複数の大陸にわたるFortiWebのウェブアプリケーションファイアウォール(WAF)を標的とした巧妙な攻撃キャンペーンを発見しました。攻撃者は、永続的なアクセスと隠密なプロキシインフラストラクチャを確立するために、Sliverコマンド&コントロール(C2)フレームワークを展開していました。
この発見は、Censys上でのオープンディレクトリ脅威ハンティング中に、露出していたSliver C2のデータベースとログを分析したことによるものです。これは、古くなったFortiWebデバイスの公開されている脆弱性を悪用した、巧妙に計画された作戦であることを示しています。
初期アクセスと脆弱性の悪用
脅威アクターは、バージョン5.4.202から6.1.62に及ぶ複数の古いFortiWebアプライアンスにおける公開されている脆弱性を悪用して、初期アクセスを獲得しました。研究者は、攻撃者がReact2Shell(CVE-2025-55182)と未知のFortiWeb脆弱性を組み合わせて被害者のインフラストラクチャを侵害した証拠を回収しました。FortiWebエクスプロイトの概念実証コードがないことから、脅威アクターがゼロデイ脆弱性を標的としたか、あるいはまだ公開されていない武器化されたエクスプロイトを利用した可能性が示唆されます。
コマンド&コントロールインフラストラクチャ
調査により、ns1.ubunutpackages[.]storeとns1.bafairforce[.]armyという2つの主要なC2ドメインが特定され、これらは両方ともSliverインスタンスをホストしていました。攻撃者は、正規のサービスになりすますためのデコイウェブサイトを作成することで、高度な技術を示しました。具体的には、偽のUbuntu Packagesリポジトリと、バングラデシュ空軍の採用ページを偽装したものでした。
C2作成のタイムスタンプ分析から、最初のドメインは2024年9月に登録されましたが、被害者の取り込みは2025年12月22日から30日の間に劇的に加速し、わずか8日間で30のユニークなホストが侵害されたことが明らかになりました。
永続性と横展開のメカニズム
攻撃者は、systemdサービスおよびsupervisor構成の変更を通じて永続性を確立し、Sliverバイナリを/bin/.root/system-updaterとしてシステムアップデータプロセスに偽装していました。コマンド実行と横展開を容易にするため、脅威アクターはFast Reverse Proxy(FRP)と、正規のCUPS Line Printer Daemonになりすますためにポート515にバインドされた偽装されたマイクロソックスSOCKSプロキシ(「cups-lpd」に名称変更)を展開しました。この欺瞞的な戦術は、かなりの運用の規律を示しています。
Sliverデータベース内のIPアドレスはFRPサーバーと連携しており、被害者分析ではパキスタンとバングラデシュに標的が集中していることが判明しました。これには金融および政府部門の複数の被害者が含まれます。バングラデシュをテーマにしたデコイインフラストラクチャの選択は、観測された被害者の場所と一致しており、この作戦が日和見的ではなく、より標的型であったことを示唆しています。
重大な検出ギャップと推奨事項
今回の調査は、FortiWebアプライアンスや同様のエッジデバイスが、組み込みのEDR(Endpoint Detection and Response)機能を欠いており、組織がアフターマーケットのセキュリティツールを導入することが稀であるという根本的なセキュリティの盲点を浮き彫りにしています。
研究者らは、このキャンペーンの証拠が、脅威アクターが偶発的に運用ログとデータベースを公開したことによってのみ明らかになったと指摘しており、多くの同様の攻撃が、強化されたネットワーク境界デバイス全体で検出されないまま持続している可能性を示唆する厳しいリマインダーとなっています。
このキャンペーンは、組織がエッジアプライアンスにセキュリティ監視、レガシーデバイスの更新を優先する脆弱性管理プログラム、侵害された境界からの横展開を制限するネットワークセグメンテーションを含む補完的な制御を実装する必要があることを強調しています。名称変更されたユーティリティや正規に見えるサービスを巧妙に利用する手口は、脅威アクターが、従来のセキュリティツールでは可視性が制限される環境において、検出を回避するためにその手口を適応させていることを示しています。