Злоумышленники активно применяют устройства Fortinet Virtual Private Network (VPN), чтобы внедрить вредоносное ПО (чаще всего вымогательское) в корпоративные IT-системы целевых организаций. К соответствующему выводу пришли эксперты подразделения реагирования на угрозы eSentire (TRU).
Представители eSentire подчеркнули, что злоумышленники пытаются использовать критическую уязвимость Fortinet (отслеживается как CVE-2022-40684), выявленную компанией в октябре 2022 года.
«Компания Fortinet описала уязвимость в системе безопасности как уязвимость обхода аутентификации. В случае успешной эксплуатации киберпреступник без прохождения проверки подлинности может получить доступ к уязвимому устройству Fortinet», — уточнили в eSentire.
При этом в компании Fortinet в отдельно выпущенном заявлении сообщили, что на данный момент её эксперты выявили только один инцидент, когда уязвимость активно использовалась, но ещё через несколько дней был опубликован код функциональной проверки концепции (POC).
«Система TRU увидела множество злоумышленников, сканирующих Интернет в поисках уязвимых устройств Fortinet», — заявили в eSentire.
Изучая профильные ресурсы даркнета, эксперты eSentire заявили, что наблюдали за тем, как злоумышленники покупали и продавали скомпрометированные устройства Fortinet на хакерских торговых площадках, что свидетельствует о широкомасштабной эксплуатации уязвимости CVE-2022-40684.
«Во время поиска угроз подразделение eSentire просмотрело журналы с устройств Fortinet в поисках индикаторов компрометации. Было идентифицировано нескольких клиентов, на устройствах которых были обнаружены признаки недавней активности угроз. В обоих случаях, как только злоумышленники закреплялись в IT-средах целей через виртуальные частные сети Fortinet, субъекты угрозы использовали службу протокола удаленного рабочего стола (RDP) Microsoft, злоупотребляя доверенными процессами Windows (также называемыми LOLBIN или «живущими за счет») для достижения бокового движения.
Хакеры также злоупотребили легальными утилитами шифрования, BestCrypt и BitLocker, которые изначально предназначались для защиты данных, а не для выставления требований выкупа в дальнейшем», — отметили в eSentire.
Актуальные вакансии по ИБ на https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube.