中国のハッカーが世界中にサイバー攻撃 Coathanger（コートハンガー）で2万台のFortiGateへ侵入

オランダ軍事情報保安局（MIVD）は、中国のハッカーがゼロデイ脆弱性（CVE-2022-42475）を悪用するマルウェア「Coathanger（コートハンガー）」で、世界中の約2万台のFortiGateへ侵入している事を警告しました。

中国のハッカーはFortigateの脆弱性（CVE-2022-42475）を悪用

中国のハッカーは2022年から2023年にかけて数か月間にわたり、重大なFortiOS/FortiProxyのリモートコード実行のゼロデイ脆弱性（CVE-2022-42475）を悪用し、脆弱なFortigateのネットワークセキュリティアプライアンスにマルウェアを展開しました。

世界中で1万4000台を感染させる

MIVDは「このいわゆる『ゼロデイ』期間中に、攻撃者は14,000台のデバイスを感染させた。標的には数十の（西側）政府、国際機関、防衛産業の多数の企業が含まれている」とMIVDは述べた。

攻撃に使用された 「Coathanger 」というマルウェアは、機密扱いでないプロジェクトの研究開発 (R&D) に使用されているオランダ国防省のネットワークでも発見されました。
ただし、ネットワークをセグメント化していた事により、攻撃者は他のシステムに移動できませんでした。

マルウェア「Coathanger（コートハンガー）」とは

CoathangerはFortiOS SSL-VPNを悪用し、システムがファームウェアのアップデートをしていても、

システムに残り続けるマルウェアです。

これまで知られていなかった「Coathanger」と呼ばれるマルウェアが、オランダとその同盟国を標的とした政治スパイ活動で中国政府が支援するハッキンググループによって使用されたことをMIVDが突き止めました。

MIVDは「実際にマルウェアをインストールされた被害者の数は不明だ。オランダ諜報機関とNCSCは、国家攻撃者が世界中の何百人もの被害者へのアクセスを拡大し、データの盗難などの追加行為を実行する可能性があると考えている。」としています。

少なくとも世界で2万台のFortigateが感染

MIVDは2024年2月以降、中国の脅威グループが2022年と2023年に数か月間にわたり、世界中の少なくとも2万台のFortiGateシステムにアクセスしたことを発見しており、これはフォーティネットがCVE-2022-42475の脆弱性を公表する少なくとも2か月前のことである。

「Coathanger」マルウェアはシステムコールを傍受して存在が明らかになるのを避けるため検出が難しく、ファームウェアのアップグレード後も存続するため削除も難しいことから、中国のハッカーが依然として多くの被害者にアクセスできるとMIVDは考えています。

引用：Chinese hackers breached 20,000 FortiGate systems worldwide