هکرها از آسیب‌پذیری‌های فایروال Fortinet برای کاشت باج‌افزار بهره‌برداری می‌کنند
خانهاخبارهکرها از آسیب‌پذیری‌های فایروال Fortinet برای کاشت باج‌افزار بهره‌برداری می‌کنند

هکرها از آسیب‌پذیری‌های فایروال Fortinet برای کاشت باج‌افزار بهره‌برداری می‌کنند

تاریخ انتشار:

هکرها از آسیب‌پذیری‌های فایروال Fortinet برای کاشت باج‌افزار بهره‌برداری می‌کنند

مقدمه

تحقیقات امنیتی نشان می‌دهد که هکرهای مرتبط با گروه معروف LockBit از دو آسیب‌پذیری فایروال‌های Fortinet برای استقرار باج‌افزار در چندین شبکه شرکتی بهره‌برداری می‌کنند.

جزئیات حملات

در گزارشی که هفته گذشته منتشر شد، محققان امنیتی در Forescout Research اعلام کردند که گروهی که آن‌ها تحت نظر دارند و نامش "Mora_001" است، از فایروال‌های Fortinet که در لبه شبکه یک شرکت قرار دارند و به عنوان دروازه‌بان‌های دیجیتال عمل می‌کنند، استفاده می‌کنند تا به شبکه‌ها نفوذ کرده و نوع خاصی از باج‌افزار که آن را "SuperBlack" می‌نامند، را مستقر کنند.

آسیب‌پذیری‌ها

an illustration of a red light cast down on a bunch of computers

یکی از آسیب‌پذیری‌ها که با نام CVE-2024-55591 شناسایی شده است، از دسامبر 2024 در حملات سایبری برای نفوذ به شبکه‌های شرکتی مشتریان Fortinet مورد بهره‌برداری قرار گرفته است. Forescout همچنین می‌گوید که آسیب‌پذیری دوم، با نام CVE-2025-24472، نیز توسط Mora_001 در حملات مورد استفاده قرار می‌گیرد. Fortinet در ژانویه برای هر دو آسیب‌پذیری وصله‌هایی منتشر کرد.

تحقیقات و شواهد

سای مولیگه، مدیر ارشد شکار تهدید در Forescout، به TechCrunch گفت که این شرکت سایبری "سه رویداد در شرکت‌های مختلف را بررسی کرده است، اما ما بر این باوریم که ممکن است رویدادهای دیگری نیز وجود داشته باشد."

نفوذ تأیید شده

در یکی از نفوذهای تأیید شده، Forescout گفت که مشاهده کرده است که مهاجم به‌طور "انتخابی" سرورهای فایل حاوی داده‌های حساس را رمزگذاری می‌کند.

روندهای جدید

dark prison room with window bars and light

مولیگه افزود: "این رمزگذاری تنها پس از استخراج داده‌ها آغاز شد، که با روندهای اخیر در میان اپراتورهای باج‌افزار که اولویت را به سرقت داده‌ها به جای ایجاد اختلال خالص می‌دهند، هم‌راستا است."

امضای عملیاتی Mora_001

Forescout می‌گوید که عامل تهدید Mora_001 "امضای عملیاتی متمایزی را نشان می‌دهد" که این شرکت می‌گوید "پیوندهای نزدیکی" با گروه باج‌افزار LockBit دارد، که سال گذشته توسط مقامات ایالات متحده مختل شد. مولیگه گفت که باج‌افزار SuperBlack بر اساس سازنده‌ای که از حملات LockBit 3.0 فاش شده است، ساخته شده است، در حالی که یادداشت باج‌خواهی که توسط Mora_001 استفاده می‌شود، شامل همان آدرس پیام‌رسانی است که توسط LockBit استفاده می‌شود.

تحلیل‌های امنیتی

استفان هاستتلر، رئیس اطلاعات تهدید در شرکت امنیت سایبری Arctic Wolf، که پیش‌تر بهره‌برداری از CVE-2024-55591 را مشاهده کرده است، به TechCrunch گفت که یافته‌های Forescout نشان می‌دهد که هکرها "به دنبال سازمان‌های باقی‌مانده هستند که نتوانسته‌اند وصله را اعمال کنند یا پیکربندی‌های فایروال خود را در زمان افشای آسیب‌پذیری تقویت کنند."

یادداشت باج‌خواهی

هاستتلر می‌گوید که یادداشت باج‌خواهی که در این حملات استفاده می‌شود، شباهت‌هایی با یادداشت‌های دیگر گروه‌ها، مانند گروه باج‌افزار ALPHV/BlackCat که اکنون منحل شده است، دارد.

 

منبع:The Verge
در حال بارگذاری نظرات...
نظر شما:
0/800