Qilin fidye yazılımı işlemi son zamanlarda savunmasız cihazlarda kimlik doğrulamasını atlamaya izin veren ve kötü amaçlı kodun uzaktan yürütülmesine izin veren iki Fortinet güvenlik açıkından yararlanan saldırılara katıldı.
Qilin (Phantom Mantis olarak da izlendi) Ağustos 2022’de “gündem” adı altında bir Hizmet Olarak Fidye Yazılımı (RAAS) operasyonu olarak ortaya çıktı ve o zamandan beri 310’dan fazla kurbanın karanlık ağ sızıntı sitesinde sorumluluk iddia etti.
Kurban listesi ayrıca otomotiv devi Yangfeng, yayıncılık devi Lee Enterprises, Avustralya Mahkeme Hizmetleri Victoria ve Patoloji Hizmetleri Sağlayıcı Synnovis gibi yüksek profilli kuruluşları da içeriyor. Synnovis olayı, Londra’daki birkaç büyük NHS hastanesini etkiledi ve bu da onları yüzlerce randevu ve operasyonu iptal etmeye zorladı.
Birkaç Fortinet kusurunu hedefleyen bu yeni ve kısmen otomatik Qilin fidye yazılımı saldırılarını tespit eden tehdit istihbarat şirketi Prodaft, tehdit aktörlerinin şu anda İspanyolca konuşulan ülkelerden kuruluşlara odaklandığını, ancak kampanyanın dünya çapında genişlemesini beklediğini ortaya koydu.
“Phantom Mantis kısa süre önce Mayıs ve Haziran 2025 arasında birden fazla kuruluşu hedefleyen koordineli bir saldırı kampanyası başlattı. PRODAFT, CVE-2024-21762, CVE-2024-55591 ve diğerleri de dahil olmak üzere, CVE-2024-21762, CVE-2017.
“Gözlemlerimiz, aşağıdaki tabloda sunulan verilere yansıtıldığı gibi, İspanyolca konuşulan ülkelere özel bir ilgiyi göstermektedir. Ancak, bu bölgesel odağa rağmen, grubun sıkı bir coğrafi veya sektör tabanlı hedefleme modelini takip etmek yerine hedeflerini fırsatçı olarak seçmeye devam ettiğini değerlendiriyoruz.”
CVE-2024-55591 olarak izlenen bu kampanyada istismar edilen kusurlardan biri, Kasım 2024’e kadar güvenlik duvarlarını ihlal etmek için diğer tehdit grupları tarafından sıfır gün olarak kullanıldı. Mora_001 fidye operatörü, bunu, Superblack furmiyatrosunun öngörücülerine bağlı olarak kullandı.
Bu Qilin fidye yazılımı saldırılarında (CVE-2024-21762) sömürülen ikinci Fortinet güvenlik açığı Şubat ayında yamalandı, CISA bunu aktif olarak sömürülen güvenlik kusurları kataloğuna ekledi ve federal ajansları 16 Şubat’a kadar fortios ve foriproxy cihazlarını güvence altına almaları için sipariş etti.
Neredeyse bir ay sonra, Shadowserver Vakfı, yaklaşık 150.000 cihazın CVE-2024-21762 saldırılarına karşı hala savunmasız olduğunu bulduğunu açıkladı.
Fortinet güvenlik açıkları, siber casusluk kampanyalarında ve fidye yazılımı saldırılarında kurumsal ağları ihlal etmek için genellikle (sıklıkla sıfır gün olarak) kullanılır.
Örneğin, Şubat ayında Fortinet, Çin Volt Typhoon Hacking Grubunun, daha önce Koathanger Özel Uzaktan Erişim Truva (Rat) kötü amaçlı yazılımları kullanan iki FortiOS SSL VPN kusuru (CVE-2022-42475 ve CVE-2023-27997) kullandığını açıkladı.
Manuel yama modası geçmiş. Yavaş, hataya eğilimli ve ölçeklenmesi zor.
Eski yöntemlerin neden yetersiz kaldığını görmek için 4 Haziran’da Kandji + Tines’e katılın. Modern ekiplerin otomasyonu nasıl daha hızlı yama, riski kesmek, uyumlu kalmak ve karmaşık komut dosyalarını atlamak için otomasyonu nasıl kullandığına dair gerçek dünya örneklerine bakın.