HackerNews 编译,转载请注明出处:
Qilin勒索组织近期利用两个Fortinet漏洞发起攻击,该漏洞允许攻击者在未认证状态下远程执行恶意代码。该组织(又名Phantom Mantis)自2022年8月以“Agenda”为名运营勒索软件即服务(RaaS),其暗网泄露站点已披露超310名受害者,包括汽车巨头Yangfeng、出版集团Lee Enterprises、澳大利亚法院服务署Victoria及病理服务商Synnovis。其中Synnovis遭攻击导致伦敦多家NHS医院被迫取消数百例诊疗安排。
威胁情报公司PRODAFT发现,Qilin近期通过部分自动化攻击模式瞄准多个Fortinet漏洞,主要针对西班牙语国家机构,但预计攻击范围将扩大至全球。“Phantom Mantis在2025年5月至6月发起协同入侵,中高度置信证据表明其通过CVE-2024-21762、CVE-2024-55591等FortiGate漏洞实现初始访问”,PRODAFT在向BleepingComputer提供的内部警报中表示。尽管当前攻击呈现地域倾向,但目标选择仍具随机性。
本次攻击利用的两大漏洞中:
- CVE-2024-55591:早在2024年11月已被其他威胁组织作为零日漏洞利用,Mora_001勒索运营商曾借此部署与LockBit犯罪团伙关联的SuperBlack勒索软件CVE-2024-21762:Fortinet于今年2月发布补丁,美国网络安全局(CISA)将其列入高危漏洞目录并勒令联邦机构在2月16日前加固设备。后续扫描显示仍有近15万台设备未修复
Fortinet漏洞常被用于网络间谍活动及勒索攻击。例如今年2月披露的黑客组织Volt Typhoon曾利用FortiOS SSL VPN漏洞(CVE-2022-42475及CVE-2023-27997)部署定制远控木马Coathanger——该恶意软件此前曾渗透荷兰国防部军事网络。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
