Qilin ใช้ช่องโหว่ระดับ Critical ของ Fortinet สองรายการในการโจมตี เพื่อ bypass การยืนยันตัวตน และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล โดย Qilin (หรือ Phantom Mantis) ถูกพบครั้งแรกในเดือนสิงหาคม 2022 ภายใต้ชื่อ "Agenda" และในฐานะ Ransomware-as-a-Service (RaaS) ซึ่งอ้างว่าอยู่เบื้องหลังการโจมตีเหยื่อกว่า 310 รายที่ถูกเปิดเผยบนเว็บไซต์เผยแพร่ข้อมูลรั่วไหลในดาร์กเว็บ
พบการโจมตีที่ใช้ช่องโหว่ระดับ Critical ของ Fortinet เป็นช่องทางในการเข้าถึงระบบ โดยมีบริษัทขนาดใหญ่ด้านยานยนต์, ด้านสื่อพิมพ์, หน่วยงานศาลของออสเตรเลีย และการแพทย์ด้านพยาธิวิทยา เป็นเป้าหมาย
PRODAFT บริษัทด้านข่าวสารภัยคุกคาม ระบุในคำเตือนที่ส่งให้กับ BleepingComputer ว่า Phantom Mantis (หรือ Qilin) ได้เริ่มแคมเปญการบุกรุกที่มุ่งเป้าไปยังองค์กรหลายแห่งระหว่างพฤษภาคมถึงมิถุนายน 2025 โดยใช้ช่องโหว่หลายรายการใน FortiGate เช่น CVE-2024-21762 และ CVE-2024-55591 เป็นจุดเริ่มต้นการเข้าถึง
จากการสังเกตพบว่า กลุ่มผู้โจมตีให้ความสนใจเป็นพิเศษในประเทศที่ใช้ภาษาสเปน แม้จะมุ่งโจมตีในภูมิภาคนี้ แต่ PRODAFT เชื่อว่าพวกเขายังคงเลือกเป้าหมายตามโอกาสมากกว่าการมุ่งเน้นเฉพาะด้านภูมิศาสตร์ หรืออุตสาหกรรม
การโจมตีโดย Qilin ใช้ช่องโหว่ระดับ Critical ในระบบ Fortinet โดยเฉพาะช่องโหว่ CVE-2024-55591 ซึ่งถูกใช้ในเหตุการณ์ zero-day เพื่อเจาะระบบไฟร์วอลล์ FortiGate มาตั้งแต่พฤศจิกายน 2024
อีกช่องโหว่คือ CVE-2024-21762 ซึ่งได้รับการแก้ไขไปแล้วในเดือนกุมภาพันธ์ และหลังจากนั้น CISA ได้ประกาศเพิ่มช่องโหว่นี้ในแคตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง พร้อมทั้งสั่งให้หน่วยงานรัฐบาลกลางทำการป้องกันระบบ FortiOS และ FortiProxy ก่อนวันที่ 16 กุมภาพันธ์ ต่อมาในเดือนมีนาคม Shadowserver Foundation ได้รายงานว่า มีอุปกรณ์เกือบ 150,000 เครื่องที่ยังคงเสี่ยงต่อการโจมตีจากช่องโหว่นี้
ช่องโหว่ในผลิตภัณฑ์ของ Fortinet มักถูกนำไปใช้ในแคมเปญการสอดแนมทางไซเบอร์ โดยเฉพาะอย่างยิ่งในกรณีของช่องโหว่ zero-day และการโจมตีเครือข่ายองค์กรผ่านมัลแวร์ ตัวอย่างเช่น ในเดือนกุมภาพันธ์ กลุ่มแฮ็กเกอร์ Volt Typhoon จากจีนได้ใช้ช่องโหว่ใน FortiOS SSL VPN (CVE-2022-42475 และ CVE-2023-27997) เพื่อเผยแพร่มัลแวร์ Coathanger ซึ่งเป็น remote access trojan (RAT) โดยก่อนหน้านี้เคยถูกใช้ในการแฮ็กเข้าสู่เครือข่ายของกระทรวงกลาโหมเนเธอร์แลนด์
ที่มา : bleepingcomputer
You must be logged in to post a comment.