Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Fortinet SSL VPN Güvenlik Açığı En Yaygın Güvenlik Açıkları Arasında
Prajeet Nair (@prajeetspeaks) •
17 Ağustos 2023
Adlumin ile güvenlik araştırmacılarını uyaran Play fidye yazılımı grubu, ilk erişim elde etmek için güvenlikle yönetilen hizmet sağlayıcıları hedefliyor ve güvenlik cihazlarındaki yarım on yıla varan eski güvenlik açıklarını kullanıyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
Adlumin’de tehdit araştırma direktörü Kevin O’Connor, firmalara güvenlik sağlayıcıları aracılığıyla saldırmanın akıllıca bir taktik olduğunu söyledi. Information Security Media Group’a verdiği demeçte, “başlangıçta meşru idari erişim olarak göründüğü ve genellikle saldırganlara hedefin ağı ve BT varlıkları üzerinde serbest egemenlik sağladığı için” siber savunucuların saldırıyı tespit etmesi bile zor.
Güvenlik firması Perşembe günkü bir blog gönderisinde, çetenin ayrıca tüm dosya değişikliklerini arayan savunmaları tetiklememek için aralıklı şifreleme kullandığını söyledi. Blog yazısında, grubun en son kampanyasının ABD, Avustralya, Birleşik Krallık ve İtalya’daki orta ölçekli finans, yazılım, hukuk ve lojistik sektörlerini hedeflediği belirtiliyor.
Play fidye yazılımı grubu, Oakland şehrine, Arjantin’deki Córdoba Adliyesine ve Alman H-Hotels zincirine yönelik siber saldırılardan sorumludur. TrendMicro, grubun faaliyetlerinin fidye yazılımı grupları Hive ve Nokoyawa’nınkilere benzer olduğunu ve potansiyel bir bağlantı olduğunu öne sürdüğünü söyledi.
Grup ayrıca araç setini ProxyNotShell, OWASSRF ve bir Microsoft Exchange Server uzaktan kod yürütme gibi yeni istismarlarla genişletti. Uzak masaüstü protokol sunucularını ağ sızması için bir vektör olarak kullanmanın yanı sıra PlayCrypt, CVE-2018-13379 ve CVE-2020-12812 olarak izlenen FortiOS güvenlik açıklarını da kullanır.
ABD’deki siber güvenlik yetkilileri ve Five Eyes istihbarat ittifakı, bu ayın başlarında ortak bir güvenlik danışma belgesinde, 2022’de “kötü niyetli aktörler tarafından sömürülen” en yaygın 12 güvenlik açığını ve ifşa durumunu ayrıntılı olarak açıkladı (bkz:: Yama Muamması: 5 Yıllık Kusur Yine En Çok Hit Alanlar Listesinin Başında).
Listede, Fortinet SSL VPN’deki bir yol geçiş kusuru olan CVE-2018-13379 var. Araştırmacılar, bunun Temmuz 2018’de keşfedilen, istismar edilmesi kolay bir kusur olduğunu ve Mayıs 2019’da Fortinet tarafından yama yapıldığını söyledi. Saldırganlar onu hedef alıp başarılı bir şekilde istismar etmeye devam etti ve NSA, 2019’da kullanıcıları yama yapmaya teşvik eden bir genel uyarı yayınlamasına yol açtı. güvenlik açığı.