奇林勒索软件操作最近加入了利用两个Fortinet漏洞的攻击,这些漏洞允许绕过易受攻击的设备上的身份验证并远程执行恶意代码。

齐林(也追踪为幻影螳螂)于2022年8月浮出水面,作为“议程”名称的勒索软件即服务(RaaS)运营,此后声称对其暗网泄漏网站上的310多名受害者负责。

Yangfeng其受害者名单还包括汽车巨头杨风、出版巨头Lee Enterprises、澳大利亚Court Services Victoria和病理学服务提供商Synnovis等知名组织。pathology services provider SynnovisSynnovis事件影响了伦敦的几家主要NHS医院,迫使他们取消了数百次预约和手术。

威胁情报公司PRODAFT发现了针对几个Fortinet漏洞的新的和部分自动化的齐林勒索软件攻击,还透露,威胁行为者目前专注于来自西班牙语国家的组织,但他们预计该活动将在全球范围内扩大。

幻影螳螂最近在2025年5月至6月期间针对多个组织发起了一场协调的入侵活动。我们适度自信地评估,通过利用几个FortiGate漏洞实现初始访问,包括CVE-2024-21762,CVE-2024-55591等,“PRODAFT在与BleepingComputer共享的私人闪光警报中说。

“我们的观察表明,正如下表所列数据所反映的那样,对西班牙语国家特别感兴趣。然而,尽管有这种区域重点,我们评估该集团继续机会性地选择其目标,而不是遵循严格的地理或基于部门的目标模式。

这场运动中滥用的缺陷之一,被追踪为CVE-2024-55591,也被其他威胁组织利用为零日,以破坏FortiGate防火墙,直到2024年11月。Mora_001勒索软件运营商还用它来部署与Forescout研究人员臭名昭着的LockBit网络犯罪团伙相关的SuperBlack勒索软件。

这些Qilin勒索软件攻击(CVE-2024-21762)中利用的第二个Fortinet漏洞于2月进行修补,CISA将其添加到其积极利用的安全漏洞目录中,并命令联邦机构在2月16日之前保护其FortiOS和FortiProxy设备。

差不多一个月后,影子服务器基金会宣布,发现近15万台设备仍然容易受到CVE-2024-21762攻击。

Fortinet安全漏洞经常在网络间谍活动中被利用(通常为零天),并在勒索软件攻击中破坏企业网络。

例如,今年2月,Fortinet披露,中国Volt Typhoon黑客组织使用两个FortiOS SSL VPN漏洞(CVE-2022-42475和CVE-2023-27997)来部署Coathanger自定义远程访问木马(RAT)恶意软件,该恶意软件以前曾用于荷兰国防部军事网络的后门。