اپراتورهای باج افزار Qilin به تازگی در حملاتی از دو آسیب پذیری در Fortinet که امکان بای پس کردن احراز هویت در دستگاههای آسیب پذیر را دارند، استفاده کرده و کدهای مخرب مدنظر خود را اجرا می کنند.
Qilin (که بنام Phantom Mantis هم شناخته می شود) از آگوست 2022 به عنوان یک RaaS تحت نام Agenda دیده شد و در فضای دارک وب ادعای بیش از 310 حمله و قربانی را داشته است.
شرکت اطلاعات تهدیدات PRODAFT، که این حملات جدید و تا حدی خودکار باجافزار Qilin را که چندین نقص Fortinet را هدف قرار میداد، مشاهده کرده، هشدار داده است که عاملان تهدید در حال حاضر بر سازمانهایی از کشورهای اسپانیاییزبان تمرکز دارند، اما انتظار می رود که این کمپین در سراسر جهان گسترش یابد.
PRODAFT میگوید: «Phantom Mantis اخیراً یک کمپین نفوذ هماهنگ را بین ماه می و ژوئن ۲۰۲۵ راهاندازی کرده است و با اطمینان متوسطی ارزیابی می شود که دسترسی اولیه با سوءاستفاده از چندین آسیبپذیری FortiGate، از جمله CVE-2024-21762، CVE-2024-55591 و موارد دیگر، حاصل میشود.»
یکی از آسیب پذیری های مورد سوءاستفاده در این کمپین که با شناسه CVE-2024-55591 ردیابی میشود، توسط سایر گروههای تهدید نیز به عنوان یک آسیبپذیری Zero-day برای نفوذ به فایروالهای FortiGate در نوامبر 2024 مورد سوءاستفاده قرار گرفته بود. اپراتور باجافزار Mora_001 همچنین از آن برای استقرار گونه باجافزار SuperBlack مرتبط با گروه جرایم سایبری LockBit استفاده کرده است.
دومین آسیبپذیری Fortinet که در این حملات باجافزار Qilin مورد سوءاستفاده قرار گرفت (CVE-2024-21762) در ماه فوریه وصله شد. تقریباً یک ماه بعد، Shadowserver اعلام کرد که نزدیک به 150،000 دستگاه هنوز در برابر حملات CVE-2024-21762 آسیبپذیر هستند.
آسیبپذیریهای امنیتی Fortinet اغلب (اکثرا به صورت آسیبپذیریهای Zero-day) در کمپینهای جاسوسی سایبری و برای نفوذ به شبکههای سازمانی در حملات باجافزاری مورد سوءاستفاده قرار میگیرند.
برای مثال، در ماه فوریه، Fortinet فاش کرد که گروه هکری چینی Volt Typhoon از دو نقص FortiOS SSL VPN (CVE-2022-42475 و CVE-2023-27997) برای استقرار بدافزار تروجان دسترسی از راه دور سفارشی (RAT) Coathanger استفاده کرده است.
پس در صورت استفاده از این محصولات از به روز بودن آنها و دریافت آخرین وصله های منتشر شده، اطمینان حاصل نمایید.
منبع:
