オランダ軍情報保安局(MIVD: Militaire inlichtingen en veiligheid)は2月6日(現地時間)、「MIVD onthult werkwijze Chinese spionage in Nederland|Nieuwsbericht|Defensie.nl」において、中国の高度なマルウェア「COATHANGER」を発見したと報じた。オランダ軍情報保安局によると、2023年、中国の国家支援を受けたとみられるサイバー攻撃者がFortinetの次世代ファイアウォール「FortiGate」に存在する脆弱性「CVE-2022-42475」を悪用し、オランダ軍のネットワークに侵入したという。そのインシデント対応作業中にこのマルウェアを発見したとしている。
インシデントの詳細
同事案の詳細は、オランダ国立サイバーセキュリティセンター(NCSC-NL: Nationaal Cyber Security Centrum)の「Nieuwe malware benadrukt aanhoudende interesse in edge devices | Nieuwsbericht | Nationaal Cyber Security Centrum」において公開されているPDFドキュメント「TLP:CLEAR MIVD Advisory Coathanger | Publicatie | Nationaal Cyber Security Centrum」で確認可能。
公開された資料によると、サイバー攻撃者は脆弱なエッジデバイスを大規模にスキャンし、難読化された接続を使用してFortiGateの脆弱性を突いて侵入。その後、ステージングサーバとみられる別のホストからCOATHANGERをダウンロードしたとされる。
攻撃者は侵害後に研究開発ネットワークの偵察を実施、Active Directoryサーバからユーザーアカウントの一覧を窃取した。しかしながら、この侵害されたネットワーク環境は軍事ネットワークから分離された環境にあり、ユーザー数は50人未満であることから影響は限定的としている。
マルウェア「COATHANGER」
マルウェア「COATHANGER」は遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)とされる。その主な目的は侵害したネットワークに永続化することにあるとされ、再起動やファームウェアアップデートにも耐性があり、これら作業では削除することはできない。修正パッチを適用したFortiGateデバイスであっても、修正前に侵害されていた場合は再感染する可能性があるという。
また、高いステルス性を備えており、その存在を検知可能なほとんどのシステムコールをフックすることで自身を隠蔽する。そのため、FortiGateの標準CLIコマンドからはマルウェアを検出することは困難とされる。
このマルウェアは攻撃者のコマンド&コントロール(C2: Command and Control)サーバにTLS経由で接続する。接続後は「openpty」コマンドを使用して擬似端末を開き、busyboxへのインタフェースをコマンド&コントロールサーバに提供することでバックドアとして機能する。
対策
公開されているPDFドキュメントには、マルウェアを検出するためのYARAルールが記載されている。他にもJA3フィンガープリント、CLIコマンドから検出する方法、発見されたバイナリーのチェックサムを公開している。FortinetのFortiOSを搭載した製品を使用していて侵害が疑われる場合は、対象製品を直ちに隔離し、これら情報を活用して調査することが推奨されている。
また、侵害が疑われる場合はFortinet製品を経由して到達可能なホストやデバイスを侵害した可能性があるため、それらすべてを調査することも推奨されている。このとき可能であれば専門家まはたインシデント対応を専門とする企業にサポートを依頼することが望まれている。なお、COATHANGERの存在が確認された場合は、Fortinet製品をフォーマットし、デバイスを再インストールして再構成する以外に現時点では解決策はないとされている。