威胁行为者利用Fortinet虚拟专用网(VPN)设备,试图用勒索软件感染加拿大的一所大学和一家全球投资公司。
调查结果来自eswhole的威胁响应部门(TRU),据报道,该部门阻止了攻击,并在发布之前与Infosecurity共享了有关攻击的信息。
eswhole表示,威胁行为者试图利用该公司在2022年10月发现的一个关键的Fortinet漏洞(跟踪CVE-2022-40684)。
Fortinet将安全漏洞描述为身份验证绕过漏洞。如果被成功利用,未经身份验证的攻击者可以访问易受攻击的Fortinet设备。在报告中,Fortinet表示,他们只看到一个漏洞被积极利用的事件,但几天后,一个功能概念验证(POC)漏洞代码被公开发布。
eswhole写道:“TRU首先发现了大量威胁行为者在互联网上扫描易受攻击的Fortinet设备。”
在进行暗网搜索时,TRU随后表示,它观察到黑客在地下市场买卖被破坏的Fortinet设备,这表明该设备被广泛利用。
eswhole解释说:“黑客的销售范围从个体组织到批量销售,有许多买家表现出了兴趣。”
该团队表示,一旦他们注意到这一活动,他们就追踪到了该漏洞的技术细节,并为Fortinet设备创建了基于日志的检测。
该公司的报告中写道:“在进行威胁搜索时,TRU从Fortinet设备中扫描了历史日志,寻找妥协的迹象。TRU发现了几位客户,他们的设备显示出近期威胁活动的迹象。”
eswhole说:“这些活动包括上述两次网络入侵。在这两种情况下,一旦黑客通过Fortinet vpn进入目标的IT环境,威胁行为者就会使用微软的远程桌面协议(RDP)服务,滥用可信的Windows进程(也称为lolbin或居住在场外的二进制文件)来实现横向移动。”
eswhole继续说道:“黑客还滥用了合法的加密工具,BestCrypt和BitLocker,它们最初的目的是保护数据,而不是劫持数据。”
根据该报告,使用远程漏洞、lolbin和合法加密,再加上没有泄漏站点,使得归因变得困难。
扫一扫
2244
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
