Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page 310 компаний сдались без боя. Дыры в Fortinet открыли Qilin все двери — даже запасные

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 06-08-2025, 01:21 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


Операторы вымогательского ПО Qilin — также известные под именем Phantom Mantis — начали активно использовать критические уязвимости в продуктах Fortinet, чтобы проникать во внутренние сети организаций и запускать вредоносный код. Новая кампания развивается с мая 2025 года и уже затронула инфраструктуру в испаноязычных странах, хотя по наблюдениям экспертов, злоумышленники не ограничиваются жёсткими рамками и выбирают цели там, где видят уязвимость , а не по национальному признаку.



Впервые Qilin появился на киберпреступной арене в августе 2022 года под брендом Agenda. С тех пор группировка продвигает свою деятельность по модели RaaS — «вымогательство как услуга» — и публикует данные пострадавших компаний на собственном даркнет-портале. По состоянию на 2025 год список скомпрометированных организаций превышает 310 имён и включает заметные бренды и учреждения.



Среди пострадавших — транснациональный автоконцерн Yangfeng, крупное американское издательство Lee Enterprises, судебная система штата Виктория в Австралии и медицинская лаборатория Synnovis. Последний инцидент особенно резонансен: заражение затронуло несколько ведущих больниц NHS в Лондоне и привело к отмене сотен операций и приёма пациентов.



По информации швейцарской компании PRODAFT, Qilin запустили новую серию атак, автоматизировав часть действий и сосредоточившись на эксплуатации слабых мест в решениях Fortinet. В частности, речь идёт о CVE-2024-21762 и CVE-2024-55591 — двух критических дырах в FortiOS и FortiProxy, позволяющих обойти аутентификацию и удалённо выполнять команды с системными привилегиями.



Одной из зацепок стало то, что CVE-2024-55591 уже ранее использовалась в атаках нулевого дня. Так, в ноябре 2024 года через неё был организован взлом FortiGate-файрволов. Впоследствии она стала точкой входа для распространения вредоноса SuperBlack, связанного с группировкой LockBit — тоже одним из наиболее заметных акторов в индустрии. Эту связь подтвердили специалисты компании Forescout.



CVE-2024-21762, в свою очередь, была закрыта Fortinet в феврале текущего года. Американское агентство CISA оперативно включило уязвимость в каталог активно эксплуатируемых и потребовало от всех федеральных ведомств немедленно обновить затронутые устройства до 16 февраля. Несмотря на это, через месяц Фонд Shadowserver обнаружил, что около 150 тысяч устройств по всему миру по-прежнему остаются незащищёнными.



Исследователи предполагают, что особая заинтересованность в испаноязычных регионах может быть связана как с удобством локализации, так и с уязвимыми конфигурациями в целевых сетях.



Именно Fortinet в последние годы стал одной из самых уязвимых точек в корпоративной ИТ-инфраструктуре. Продукты компании часто используются для построения внешнего периметра — и при этом регулярно становятся целью кибершпионских кампаний. Причём довольно часто речь идёт об атаках с использованием уязвимостей нулевого дня, что особенно опасно.



Так, в феврале Fortinet официально признала, что китайская хак-группа Volt Typhoon использовала две другие бреши в FortiOS SSL VPN — CVE-2022-42475 и CVE-2023-27997 — для доставки собственного удалённого трояна Coathanger. Этот малварь позднее был обнаружен в сети Министерства обороны Нидерландов, где работал как бэкдор и обеспечивал устойчивый несанкционированный доступ.



Сложность ещё в том, что уязвимости Fortinet позволяют не просто проникнуть внутрь сети, но и обойти все стандартные механизмы авторизации, замаскировавшись под легитимного пользователя. Идеальные условия для запуска шифровальщиков, особенно если атака происходит в выходные дни или ночью, когда контроль со стороны SOC минимален.



Последние действия Qilin показывают, что их методы становятся всё более продуманными, а взаимодействие с другими группами — теснее. Они используют давно известные 0-day, автоматизируют первые шаги атаки и стремятся как можно быстрее развернуть вредонос — всё это говорит о высокой степени профессионализма хакеров .



Пока неясно, будет ли кампания продолжаться в других странах, но PRODAFT предупреждает: если дыры не залатать в ближайшее время, география атак может резко расшириться. Организациям рекомендуется немедленно установить обновления, а также проверить журналы активности на предмет подозрительных попыток доступа, особенно в обход аутентификации.



@ SecurityLab.ru
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 09:09 PM.

Contact Us - Carder.life - Archive - Top