سود هکرها از دستگاه های Fortinet برای توزیع باج افزار

هکرها از دستگاه‌های شبکه خصوصی مجازی Fortinet (VPN) سوء استفاده کرده‌اند تا یک کالج مستقر در کانادا و یک شرکت سرمایه‌گذاری جهانی را با باج‌افزار آلوده کنند.

هکرها از دستگاه‌های شبکه خصوصی مجازی Fortinet (VPN) سوء استفاده کرده‌اند تا یک کالج مستقر در کانادا و یک شرکت سرمایه‌گذاری جهانی را با باج‌افزار آلوده کنند.

این یافته‌ها از واحد واکنش به تهدید eSentire (TRU) به دست آمده است که طبق گزارش‌ها حملات را متوقف کرده و اطلاعات مربوط به آنها را قبل از انتشار با Infosecurity به اشتراک گذاشته است.

eSentire گفت که عوامل تهدید سعی کردند از آسیب‌پذیری حیاتی Fortinet (که CVE-2022-40684 ردیابی می‌شود) که توسط این شرکت در اکتبر 2022 کشف شد، سوء استفاده کنند.

Fortinet ضعف امنیتی را به عنوان یک آسیب پذیری Bypass احراز هویت توصیف کرد. در صورت سوء استفاده موفقیت آمیز، یک مهاجم تایید نشده می تواند به دستگاه آسیب پذیر Fortinet دسترسی پیدا کند.

در این مشاوره، Fortinet گفت که آنها تنها یک حادثه را دیده‌اند که در آن آسیب‌پذیری به طور فعال مورد سوء استفاده قرار می‌گرفت، اما چند روز بعد، یک کد سوءاستفاده اثبات مفهومی (POC) به صورت عمومی منتشر شد.

eSentire نوشت: «TRU برای اولین بار شاهد تعداد زیادی از عوامل تهدید بود که اینترنت را برای دستگاه‌های آسیب‌پذیر Fortinet اسکن می‌کردند.

پس از انجام شکار وب تاریک، TRU اعلام کرد هکرها را مشاهده کرده است که دستگاه‌های Fortinet در معرض خطر را در بازارهای زیرزمینی خرید و فروش می‌کنند که نشان‌دهنده بهره‌برداری گسترده است.

eSentire توضیح داد: «فروش هکرها از سازمان‌های فردی گرفته تا فروش انبوه، با خریداران زیادی که علاقه نشان می‌دادند، متغیر بود.

هنگامی که آنها متوجه این فعالیت شدند، تیم گفت که جزئیات فنی این اکسپلویت را ردیابی کرده و تشخیص‌های مبتنی بر گزارش را برای دستگاه‌های Fortinet ایجاد کرده است.

در گزارش این شرکت آمده است: «TRU با انجام شکار تهدید، گزارش‌های تاریخی را از دستگاه‌های Fortinet که به دنبال شاخص‌های سازش بودند، حذف کرد». «TRU چندین مشتری را شناسایی کرد که دستگاه‌هایشان نشانه‌هایی از فعالیت تهدید اخیر را نشان می‌دادند».

eSentire گفت که در میان این فعالیت ها، دو نفوذ سایبری فوق الذکر بود.

eSentire ادامه داد: «هکرها همچنین از ابزارهای رمزگذاری قانونی، BestCrypt و BitLocker، که در ابتدا برای ایمن کردن داده ها در نظر گرفته شده بودند، سوء استفاده کردند.

بر اساس این توصیه، استفاده از یک سوء استفاده از راه دور، LOLBINها و رمزگذاری قانونی همراه با عدم افشای سایت، انتساب را دشوار می کند.

eSentire هشدار داد: «با این حال، یادداشت باج از قالب یک باج افزار مشاهده شده در اوایل سال 2022 به نام KalajaTomorr پیروی می کند، عملیاتی که مشاهده شده است BestCrypt را از طریق حرکت جانبی RDP به کار می گیرد.»

نظر در مورد این سوء استفاده، Keegan Keplinger، سرپرست تحقیق و گزارش تیم تحقیقاتی TRU eSentire است.

کپلینگر گفت: “مانند هر فناوری امنیتی، ممکن است یک SSL VPN را به اشتباه پیکربندی کرد، که می تواند [سازمان ها] را مستعد حملات کند.”

وی پی ان ها با اینترنت روبرو هستند، بنابراین هدف قرار دادن آنها برای هکرها آسان تر است. چیزی که آنها را برای عوامل تهدید بسیار ارزشمند می کند این است که دستگاه های VPN اغلب با پروتکل های احراز هویت در سطح سازمان یکپارچه می شوند، بنابراین دسترسی به یک دستگاه VPN به معنای دسترسی به اعتبار سازمان است. ”

توصیه TRU چند ماه پس از اینکه گروه جاسوس‌افزار Bahamut مشاهده شد که دستگاه‌های اندرویدی را از طریق برنامه‌های جعلی VPN به خطر می‌اندازد، ارائه می‌شود.