Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   310 компаний сдались без боя. Дыры в Fortinet открыли Qilin все двери — даже запасные (http://txgate.io:443/showthread.php?t=51301109)

Artifact 06-08-2025 01:21 PM
<div id="post_message_796194">

Операторы вымогательского ПО <a href="https://www.securitylab.ru/news/538237.php" target="_blank">Qilin</a> — также известные под именем Phantom Mantis — начали активно использовать критические уязвимости в продуктах Fortinet, чтобы проникать во внутренние сети организаций и запускать вредоносный код. Новая кампания развивается с мая 2025 года и уже затронула инфраструктуру в испаноязычных странах, хотя по наблюдениям экспертов, злоумышленники не ограничиваются жёсткими рамками и выбирают цели там, где видят <a href="https://www.ptsecurity.com/ru-ru/research/threatscape/" target="_blank">уязвимость </a>, а не по национальному признаку.<br/>
<br/>
Впервые Qilin появился на киберпреступной арене в августе 2022 года под брендом Agenda. С тех пор группировка продвигает свою деятельность по модели <a href="https://www.securitylab.ru/analytics/538799.php" target="_blank">RaaS </a>— «вымогательство как услуга» — и публикует данные пострадавших компаний на собственном даркнет-портале. По состоянию на 2025 год список скомпрометированных организаций превышает 310 имён и включает заметные бренды и учреждения.<br/>
<br/>
Среди пострадавших — транснациональный автоконцерн Yangfeng, крупное американское издательство Lee Enterprises, судебная система штата Виктория в Австралии и медицинская лаборатория Synnovis. Последний инцидент особенно резонансен: заражение затронуло несколько ведущих больниц NHS в Лондоне и <a href="https://www.securitylab.ru/news/549407.php" target="_blank">привело к отмене</a> сотен операций и приёма пациентов.<br/>
<br/>
По информации швейцарской компании PRODAFT, Qilin запустили новую серию атак, автоматизировав часть действий и сосредоточившись на эксплуатации слабых мест в решениях Fortinet. В частности, речь идёт о <a href="https://www.securitylab.ru/news/545946.php" target="_blank">CVE-2024-21762</a> и CVE-2024-55591 — двух критических дырах в FortiOS и FortiProxy, позволяющих обойти аутентификацию и удалённо выполнять команды с системными привилегиями.<br/>
<br/>
Одной из зацепок стало то, что CVE-2024-55591 уже ранее использовалась в атаках нулевого дня. Так, в ноябре 2024 года через неё был организован взлом FortiGate-файрволов. Впоследствии она стала точкой входа для распространения вредоноса SuperBlack, связанного с группировкой <a href="https://www.securitylab.ru/news/549684.php" target="_blank">LockBit </a>— тоже одним из наиболее заметных акторов в индустрии. Эту связь подтвердили специалисты компании Forescout.<br/>
<br/>
CVE-2024-21762, в свою очередь, была закрыта Fortinet в феврале текущего года. Американское агентство CISA оперативно включило уязвимость в каталог активно эксплуатируемых и потребовало от всех федеральных ведомств немедленно обновить затронутые устройства до 16 февраля. Несмотря на это, через месяц Фонд Shadowserver обнаружил, что около 150 тысяч устройств по всему миру по-прежнему остаются незащищёнными.<br/>
<br/>
Исследователи предполагают, что особая заинтересованность в испаноязычных регионах может быть связана как с удобством локализации, так и с уязвимыми конфигурациями в целевых сетях.<br/>
<br/>
Именно <a href="https://www.securitylab.ru/news/tags/Fortinet/" target="_blank">Fortinet </a>в последние годы стал одной из самых уязвимых точек в корпоративной ИТ-инфраструктуре. Продукты компании часто используются для построения внешнего периметра — и при этом регулярно становятся целью кибершпионских кампаний. Причём довольно часто речь идёт об атаках с использованием уязвимостей нулевого дня, что особенно опасно.<br/>
<br/>
Так, в феврале Fortinet официально признала, что китайская хак-группа Volt Typhoon использовала две другие бреши в FortiOS SSL VPN — CVE-2022-42475 и CVE-2023-27997 — для доставки собственного удалённого трояна Coathanger. Этот малварь позднее был обнаружен в сети Министерства обороны Нидерландов, где работал как бэкдор и обеспечивал устойчивый несанкционированный доступ.<br/>
<br/>
Сложность ещё в том, что уязвимости Fortinet позволяют не просто проникнуть внутрь сети, но и обойти все стандартные механизмы авторизации, замаскировавшись под легитимного пользователя. Идеальные условия для запуска шифровальщиков, особенно если атака происходит в выходные дни или ночью, когда контроль со стороны SOC минимален.<br/>
<br/>
Последние действия Qilin показывают, что их методы становятся всё более продуманными, а взаимодействие с другими группами — теснее. Они используют давно известные 0-day, автоматизируют первые шаги атаки и стремятся как можно быстрее развернуть вредонос — всё это говорит о высокой степени профессионализма хакеров .<br/>
<br/>
Пока неясно, будет ли кампания продолжаться в других странах, но PRODAFT предупреждает: если дыры не залатать в ближайшее время, география атак может резко расшириться. Организациям рекомендуется немедленно установить обновления, а также проверить журналы активности на предмет подозрительных попыток доступа, особенно в обход аутентификации.<br/>
<br/>
<a href="https://www.securitylab.ru/news/560173.php" target="_blank">@ SecurityLab.ru </a>
</div>


All times are GMT. The time now is 06:07 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.