【資安熱點剖析】勒索攻擊再起,麒麟盯上 Fortinet 漏洞全力滲透

在勒索軟體攻擊越來越精密的現在,Fortinet 裝置的安全再度成為焦點。最近觀察到活躍的麒麟(Qilin) 勒索集團開始利用 Fortinet 的兩個高風險漏洞,發動針對企業網路設備的遠端攻擊,初步跡象顯示攻擊具備自動化特徵,且已波及多個國家與產業。

麒麟是誰?從「Agenda」到 Phantom Mantis 的進化

麒麟(也被稱為 Phantom Mantis)其實早在 2022 年就以「Agenda」名義出道,是一個典型的勒索軟體即服務(RaaS)集團。根據目前掌握的情資,他們至今已經對超過 310 間機構下手,並在暗網上公開受害者資料。

這些受害目標可不只是中小企業,像是國際汽車零件大廠延鋒(Yanfeng)、出版商 Lee Enterprises、南韓SK集團、澳洲的法院服務處 Court Services Victoria,甚至英國 NHS 醫院系統的病理服務商 Synnovis 都曾遭殃。其中 Synnovis 事件更造成倫敦數家醫院停擺、手術與門診大規模取消,可見其破壞力驚人。

兩個 Fortinet 漏洞成為入侵跳板

這次 Qilin 鎖定的漏洞分別是:

  • CVE-2024-21762:是一個影響 Fortinet FortiOS 的 SSL VPN 元件的遠端程式碼執行(RCE)漏洞。該漏洞源自 SSL VPN Web 介面的輸入驗證機制缺失,攻擊者可在無需認證的情況下,傳送特製的 HTTP 請求來執行任意程式碼或系統指令。

此漏洞具備以下高風險特性:

-免登入即可攻擊,不需任何驗證機制

-SSL VPN 廣泛公開於網路,成為攻擊入口首選

-攻擊成功即可直接進入內部系統

-目前已有多個 APT 攻擊行動及勒索軟體攻擊將此漏洞武器化並積極利用

  • CVE-2024-55591:是一項影響 FortiGate 裝置的中高風險設定繞過漏洞,其成因是 FortiOS 某些版本在安全政策處理邏輯上存在缺陷。經過認證的管理者帳號可以利用此漏洞繞過安全策略或竄改設定內容。

此漏洞雖不直接導致遠端程式碼執行,但具備以下威脅:

-可用於權限提升或持久化控制

-在攻擊者已入侵內網後,有利於橫向移動

-若與其他漏洞(如 CVE-2024-21762)結合,將大幅提升攻擊效果

資安業者PRODAFT 指出,這兩個漏洞目前正被麒麟結合使用,作為入侵 FortiGate 防火牆的首波跳板。更棘手的是,他們疑似導入部分自動化滲透流程,代表攻擊規模可能會更快速擴散。

而這波攻擊最初的熱區落在西語系國家,不過麒麟向來是採「見縫插針」策略,並不會特別限制地區或產業,也就是說——只要你環境裡有沒補的 Fortinet 漏洞,他們就有可能找上門。

麒麟並不是唯一的攻擊者

值得一提的是,這些漏洞並不只被麒麟利用。像是 CVE-2024-55591,就曾被名為 Mora_001 的勒索集團用來部署一種叫「SuperBlack」的勒索變種,而這款惡意程式據說與臭名昭著的 LockBit 團體有技術關聯。

此外,過去幾個月 Fortinet 也多次被點名是國家級駭客的入侵對象,例如中國的 Volt Typhoon 曾利用 FortiOS 的 SSL VPN 漏洞(CVE-2022-42475、CVE-2023-27997)來佈署 Coathanger 後門,成功入侵荷蘭國防部軍用網路。

我們該注意什麼?

對企業資安團隊來說,這波 Qilin 行動有幾個關鍵提醒:

  1. Fortinet 裝置全面盤點與更新:尤其是 FortiOS 與 FortiProxy,用戶必須確認是否已修補至最新版本,並評估是否有異常連線行為。
  2. 加強邊界偵測機制:針對來自已知威脅 IP、非預期地區的遠端管理行為應即刻攔截。
  3. 引入 Deception 技術(誘捕式防禦):透過佈署誘餌帳號、假資源或蜜罐系統,誘使攻擊者誤入陷阱,不僅能拖延攻擊進程,更能及早偵測對方動態與工具特徵,對應 APT 與勒索行為尤其有效。
  4. 防範自動化攻擊模式:攻擊者越來越依賴腳本與模組化工具進行快速橫向移動與勒索佈建,防禦策略應包含異常行為識別與行為基線比對。
  5. 不只「補漏洞」,還要「監偵漏洞是否被利用」:部署像是 NDR(Network Detection and Response)或 XDR 平台,掌握潛藏於合法通訊背後的惡意行為。

結語

這波 Qilin 的動作再次證明:駭客不會等待你修補漏洞,也不會挑選特定產業出手,他們只要找到一個入口,就會毫不留情地發動攻擊。Fortinet 雖然是企業常用的邊界設備,但同時也經常成為攻擊目標。資安團隊除了要落實漏洞修補、控管暴露面,更要具備快速偵測與應變能力。如果你還不知道你的 FortiGate 是不是有這些漏洞,現在就是時候檢查了。

美國聯邦調查局和烏克蘭警方合作展開了一項國際行動,查封了九個加密貨幣交易網站,以打擊網路犯罪

美國聯邦調查局和烏克蘭執法部門取締了九家涉嫌為網路犯罪分子服務的加密貨幣交易所。根據聯邦調查局週一(5/1)發布的新聞稿,該機構的底特律外地辦事處和虛擬貨幣回應小組,以及烏克蘭國家警察和檢察長辦公室,進行了經法院授權一項國際行動,查封涉及犯罪集團用來洗錢非法活動(包括勒索軟體攻擊和線上詐欺)的九個加密貨幣交易所。根據新聞稿,九個交易所服務都在暗網的駭客論壇上做廣告,這些網路資源為用戶提供匿名交換加密貨幣,而此類服務是為了促進非法所得資金的合法化和洗錢。通過交易所,攻擊者轉移了因惡意軟體攻擊(加密病毒)和線上詐騙而獲得的資產。查獲的網站允許用戶匿名將加密貨幣轉換為更難追踪的硬幣,以掩蓋資金追踪,並幫助網路犯罪分子在不被執法部門追踪的情況下洗錢。執法實體沿著與之相關的域查封了加密貨幣交易所背後的基礎設施,查獲的伺服器位於美國、歐洲國家和烏克蘭。

此次行動中執法部門查封的九個加密貨幣交易所網站,包括:

24xbtc.com

100btc.pro

pridechange.com

101crypta.com

uxbtc.com

trust-exchange.org

bitcoin24.exchange

paybtc.pro

owl.gold

FBI強調,不合規的虛擬貨幣交易所在打擊洗錢方面的控制“鬆懈”,並且收集的客戶資料很少,或者根本沒有,違反《美國聯邦法典》第 18 篇第 1960 條和1956 條,此類交流是網路犯罪生態系統中的重要樞紐,通過提供這些服務,虛擬貨幣交易所故意支持其客戶的犯罪活動,並成為犯罪計劃的同謀,聯邦調查局的公告中寫道。

現在執法部門對查封的基礎設施進行分析,調查仍持續進行,用戶在打開以上被查封的9個網站時,會看到首頁上出現的多種語言版本的警告,通知用戶,該網域已被聯邦當局查封,經營無證貨幣交易業務和協助洗錢是聯邦犯罪等字句。

打擊加密貨幣洗錢非常重要,因為這些平台使駭客能夠繼續他們的勒索活動有增無減,並在現實世界中使用被盜資金。

通過查封這些服務,執法機構不僅阻礙了勒索軟體集團的金融運作,而且向此類平台的運營商發出了一個強烈的訊息,即不會容忍非法或暗網的活動。

根據BleepingComputer,最近幾個月針對加密貨幣洗錢採取了幾項行動,2023 年 3 月,FBI 與歐洲刑警組織和德國警方一起查封了“ChipMixer”加密貨幣混合服務,駭客、勒索軟體組織和詐騙者使用該服務洗錢。

2023 年 4 月 24 日,美國財政部外國資產控制辦公室 (OFAC) 制裁了支持北韓加密貨幣洗錢網路的brokers。

在今年年初,美國司法部逮捕了在香港註冊的加密貨幣交易所Bizlato 的創辦人,罪名是幫助網路犯罪分子洗錢非法所得。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

研究人員:微軟發布的緊急例外修補未能完整修補PrintNightmare漏洞

即使 Microsoft在7月6日為 Windows 10 版本 1607、Windows Server 2012 和 Windows Server 2016 的 PrintNightmare 漏洞發布了緊急例外修補KB5004945,隨著越來越多的研究人員開始修補他們的漏洞並測試修補,今確定漏洞可完全繞過整個修補來實現遠端程式碼執行(RCE)和本地特權升級(LPE)。

PrintNightmare 源於 Windows Print Spooler服務中的錯誤,該服務管理本地網路內的列印過程。該威脅的主要問題是非管理員用戶能夠load他們自己的列印機驅動程式,但這已得到糾正。微軟最新更新要求一般使用者僅能安裝經合法簽發的印表機驅動程式,管理員則可安裝經簽發或未經簽發的驅動程式。

在更新發布後,美國CERT/CC 漏洞分析師 Will Dormann 警告說,該補丁“似乎只解決​​了 PrintNightmare 的遠端程式碼執行(通過 SMB 和 RPC 的 RCE),而不是本地特權升級(LPE)”,因此允許攻擊者濫用後者以獲取易受攻擊系統的 SYSTEM 權限。現在,更新的進一步測試顯示,攻擊目標的漏洞可以繞過修補完全獲得遠端程式碼執行(RCE)和本地特權升級(LPE)。但是,要實現這一點,必須啟用Windows群組政策(Group Policy) 中名為“Point and Print Restrictions” 的政策(Computer Configuration\Policies\Administrative Templates\Printers: Point and Print Restrictions),使用該政策安裝惡意印表機驅動程式。

值得注意,Microsoft 為 CVE-2021-34527 更新並不能有效防止Point and Print政策中 “NoWarningNoElevationOnInstal”設置為 1 (set to 1)的系統開採。Dormann表示,就微軟而言,它在其公告解釋說,”Point and Print” 與此漏洞沒有直接關係,但該技術削弱了本地環境,從而使漏洞可被開採。”

雖然 Microsoft 已建議停止和關閉 Print Spooler 服務的核心選項,但另一種解法是啟用Point and Print,並通過配置”RestrictDriverInstallationToAdministrators”記錄檔,來限制管理員單獨安裝印表機驅動程式的權限以防止普通用戶在印表機伺服器上安裝驅動程式。

竣盟科技資安快訊:LockTaiwan 勒索軟體獨家追蹤

竣盟科技資安快訊: 根據日前國外知名的資安網站 Malware Hunter Team 惡意軟體獵人團隊發佈的推文,以及其專家的分析,可看出雖然攻擊臺灣企業的惡意軟體是在 5月 4日開始攻擊,但其實他們已經在 5月 3日編譯完成,而在撰寫本文時,僅知在台灣的企業受到影響。

以下為臺灣企業最近收到的勒索信,名稱為: How to Unlock Files.txt

圖一

圖二

圖三

部份資訊已被外媒 Cyberscoop 報導,他們相信有最少 2個惡意程式樣本,另根據分析文章的作者 Amigo-A 表示,已經從事件檢測與回應中,命名此惡意軟體為 LockTaiwan,由於此乃新型勒索惡意軟體,國內尚未有參考資料。

類似 LockTaiwan 這種惡意軟體常與免費的第三方程式捆綁在一起傳播,這些程式一般透過不可靠的網站下載。另外當您打開或點擊帶有惡意程式郵件內容時,病毒也可能會感染到您的電腦上。所以在打開附件或點擊可疑連結之前,使用額外安裝的病毒掃瞄程式檢查是非常重要的。已感染的特洛伊木馬和惡意軟體下載程式,也可能會在您的PC上感染此病毒。瀏覽色情或 P2P種子網站,以及下載破解軟體或遊戲等等,都可能會將這類病毒帶入您的系統。

應對措施

  • 由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。
  • 向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。
  • 千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。
  • 針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。
  • 除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。
  • 佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。
  • 對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。
  • 透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

以上為竣盟科技您整理出來的資料

資料來源請參考 MalwareHunterTeam on Twitter:

以及完整的分析文件

https://id-ransomware.blogspot.com/2020/05/locktaiwan-ransomware.html

#需要👽SIEM👽記得找竣盟科技唷

#誘捕專家Acalvio的 ShadowPlex平台竣盟科技也有代理喔

#資安情資請看OTX

#快去follow竣盟科技的粉絲專頁吧^^

*****本文歡迎轉載,但請註明出處。