eSentire: хакеры пользуются взломанными устройствами Fortinet для распространения программ-вымогателей

Дата: 21.01.2023. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности
eSentire: хакеры пользуются взломанными устройствами Fortinet для распространения программ-вымогателей

Злоумышленники активно применяют устройства Fortinet Virtual Private Network (VPN), чтобы внедрить вредоносное ПО (чаще всего вымогательское) в корпоративные IT-системы целевых организаций. К соответствующему выводу пришли эксперты подразделения реагирования на угрозы eSentire (TRU).

Представители eSentire подчеркнули, что злоумышленники пытаются использовать критическую уязвимость Fortinet (отслеживается как CVE-2022-40684), выявленную компанией в октябре 2022 года.

«Компания Fortinet описала уязвимость в системе безопасности как уязвимость обхода аутентификации. В случае успешной эксплуатации киберпреступник без прохождения проверки подлинности может получить доступ к уязвимому устройству Fortinet», — уточнили в eSentire.

При этом в компании Fortinet в отдельно выпущенном заявлении сообщили, что на данный момент её эксперты выявили только один инцидент, когда уязвимость активно использовалась, но ещё через несколько дней был опубликован код функциональной проверки концепции (POC).

«Система TRU увидела множество злоумышленников, сканирующих Интернет в поисках уязвимых устройств Fortinet», — заявили в eSentire.

Изучая профильные ресурсы даркнета, эксперты eSentire заявили, что наблюдали за тем, как злоумышленники покупали и продавали скомпрометированные устройства Fortinet на хакерских торговых площадках, что свидетельствует о широкомасштабной эксплуатации уязвимости CVE-2022-40684.

«Во время поиска угроз подразделение eSentire просмотрело журналы с устройств Fortinet в поисках индикаторов компрометации. Было идентифицировано нескольких клиентов, на устройствах которых были обнаружены признаки недавней активности угроз. В обоих случаях, как только злоумышленники закреплялись в IT-средах целей через виртуальные частные сети Fortinet, субъекты угрозы использовали службу протокола удаленного рабочего стола (RDP) Microsoft, злоупотребляя доверенными процессами Windows (также называемыми LOLBIN или «живущими за счет») для достижения бокового движения.

Хакеры также злоупотребили легальными утилитами шифрования, BestCrypt и BitLocker, которые изначально предназначались для защиты данных, а не для выставления требований выкупа в дальнейшем», — отметили в eSentire.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *