El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) ha emitido una advertencia crítica sobre una sofisticada campaña de malware denominada “soporte paraguas” que se dirige específicamente a los firewalls de la serie 100D, orientada a Internet.
Esta amenaza recientemente identificada representa una escalada significativa en los ataques contra dispositivos de infraestructura de red, con el malware diseñado para establecer un acceso persistente a largo plazo a redes comprometidas a través de la explotación de vulnerabilidades de seguridad en los dispositivos objetivo.
El malware opera con una considerable sofisticación técnica, empleando comunicaciones falsas de TLS en el puerto 443 a Beacon a sus servidores de comando y control mientras mantiene canales encriptados por AES para la transmisión de datos.
A diferencia de las sesiones legítimas de TLS que comienzan con los apretones de manos adecuados, el soporte paraguas pasa por alto este protocolo por completo, enviando datos de aplicación cifrados directamente a sus controladores utilizando direcciones IP duras como 89.44.194.32.
Este enfoque permite a los atacantes combinar el tráfico malicioso con las comunicaciones HTTPS normales, lo que hace que la detección sea significativamente más desafiante para los administradores de la red.
Analistas de NCSC identificado Ese soporte paraguas se ha implementado junto con un conjunto de herramientas integral de utilidades disponibles públicamente, incluida la versión 1.3.11 de BusyBox, NBTScan para Netbios Discovery, TCPDUMP para la captura de tráfico de red y los componentes de OpenLDAP para protocolos de acceso de directorio.
La arquitectura modular del malware consiste en múltiples componentes interconectados, con el “blghtd” binario de red primario que sirve como el módulo de comunicación central, mientras que “JVNLPE” funciona como un proceso de vigilancia de vigilancia para garantizar una operación persistente.
Los actores de la amenaza han demostrado la conciencia de seguridad operativa mediante la implementación de técnicas de cifrado de cadenas y utilizando nombres de archivo genéricos que podrían existir plausiblemente en sistemas Linux, como el cambio de nombre de los procesos a “/bin/httpsd” para evitar la detección.
El impacto de las infecciones exitosas del soporte para unguas se extiende mucho más allá del compromiso de la red simple, ya que el malware proporciona a los atacantes capacidades integrales de ejecución de shell y frecuencias de baliza configurables que pueden ajustarse en función de los requisitos operativos.
La amenaza puede ejecutar comandos de shell a través de entornos de shell y BusyBox, con mecanismos de seguridad incorporados que terminan automáticamente tareas de larga duración después de 900 segundos para evitar la detección de los administradores del sistema.
Mecanismos avanzados de persistencia y evasión
El aspecto más preocupante del soporte paraguas radica en sus sofisticados mecanismos de persistencia que aseguran el acceso continuo incluso después de reiniciar el sistema.
El malware logra esto a través de un enfoque de doble punta que manipula tanto el proceso de arranque del dispositivo como las funciones fundamentales del sistema operativo.
El método de persistencia principal implica conectar la funcionalidad de reinicio del sistema operativo Fortinet, donde el soporte paraguas identifica y sobrescribe la función de reinicio legítimo con su propio código de inicialización.
Este mecanismo de persistencia funciona junto con una técnica LDPReload que carga la biblioteca “libguic.so” del malware en nuevos procesos mediante la modificación del archivo de configuración “/etc/ld.so.preload”.
Cuando se inician nuevos procesos, esta biblioteca se carga automáticamente y verifica si el proceso es “USBMUX”; si es así, ejecuta el componente de inicialización “CISZ”, de lo contrario sale en silencio.
Este enfoque asegura que el malware se reinicialice cada vez que los procesos del sistema específicos se reinicien, creando múltiples vías de persistencia redundantes.
El malware demuestra además capacidades de evasión avanzada al abusar de las características legítimas de seguridad Fortinet diseñadas para proteger el dispositivo del acceso no autorizado.
El directorio .ftgd_trusted no aparece en una lista de directorio (fuente – NCSC)
Umbrella Stand modifica el binario “/bin/sysctl” para reemplazar las referencias al directorio protegido “/data/etc/.ftgd_trusted/” con su propio directorio oculto “/data2/.ztls/”.
Esta manipulación aprovecha el mecanismo incorporado de Fortios que oculta ciertos directorios de los administradores de dispositivos, lo que hace que los archivos del malware sean invisibles a través de listados normales de directorio al tiempo que parece utilizar características legítimas de protección del sistema.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
