تم استغلال عيوب Fortinet الحرجة الآن في هجمات Qilin Ransomware

انضمت عملية Qilin Ransomware مؤخرًا إلى الهجمات التي تستغل نقاط الضعف في فورتينيت التي تسمح بتجاوز المصادقة على الأجهزة الضعيفة وتنفيذ التعليمات البرمجية الخبيثة عن بعد.

ظهرت Qilin (التي تم تتبعها أيضًا باسم Phantom Mantis) في أغسطس 2022 كعملية Ransomware-As-A-Service (RAAS) تحت “Agenda” ومنذ ذلك الحين ، ادعى الاسم مسؤولية أكثر من 310 ضحية على موقع تسرب الويب المظلم.

تشمل قائمة الضحايا الخاصة بها أيضًا منظمات رفيعة المستوى ، مثل عملاق السيارات”https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-on-automotive-giant-yanfeng/” الهدف=”_blank” rel=”nofollow noopener”> Yangfeng، عملاق النشر”https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-at-lee-enterprises-leaks-stolen-data/” الهدف=”_blank” rel=”nofollow noopener”> Lee Enterprisesو”https://www.bleepingcomputer.com/news/security/victoria-court-recordings-exposed-in-reported-ransomware-attack/” الهدف=”_blank” rel=”nofollow noopener”> خدمات المحكمة في أستراليا فيكتوريا، و”https://www.bleepingcomputer.com/news/security/qilin-ransomware-gang-linked-to-attack-on-london-hospitals/” الهدف=”_blank” rel=”nofollow noopener”> مزود خدمات علم الأمراض Synnovis. أثرت حادثة Synnovis”https://www.bleepingcomputer.com/news/security/major-london-hospitals-disrupted-by-synnovis-ransomware-attack/” الهدف=”_blank” rel=”nofollow noopener”> العديد من مستشفيات NHS الرئيسية في لندن ، الأمر الذي أجبرهم على”https://www.bleepingcomputer.com/news/security/london-hospitals-cancel-over-800-operations-after-ransomware-attack/” الهدف=”_blank” rel=”nofollow noopener”> إلغاء مئات المواعيد والعمليات.

وكشفت شركة التهديدات الاستخباراتية ، التي رصدت هذه الهجمات الجديدة من Qilin Ransomware هذه التي تستهدف العديد من عيوب Fortinet ، أن ممثلي التهديد يركزون حاليًا على المنظمات من البلدان الناطقة بالإسبانية ، لكنهم يتوقعون أن تتوسع الحملة في جميع أنحاء العالم.

“Phantom Mantis recently launched a coordinated intrusion campaign targeting multiple organizations between May and June 2025. We assess with moderate confidence that initial access are being achieved by exploiting several FortiGate vulnerabilities, including CVE-2024-21762, CVE-2024-55591, and others,” prodaft يقول في تنبيه فلاش خاص مشترك مع BleepingComputer.

“Our observations indicate a particular interest in Spanish-speaking countries, as reflected in the data presented in the table below. However, despite this regional focus, we assess that the group continues to select its targets opportunistically, rather than following a strict geographical or sector-based targeting pattern.”

تم استغلال واحدة من العيوب التي تم إساءة معاملتها في هذه الحملة ، والتي تم تتبعها كـ CVE-2024-55591 ،”https://www.bleepingcomputer.com/news/security/fortinet-discloses-second-firewall-auth-bypass-patched-in-january/” الهدف=”_blank” rel=”nofollow noopener”> كما الصفر يوم من قبل مجموعات التهديد الأخرى ل”https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/” الهدف=”_blank” rel=”nofollow noopener”> خرق جدران الحماية بقدر ما يعود إلى نوفمبر 2024. استخدمها مشغل MORA_001″https://www.bleepingcomputer.com/news/security/new-superblack-ransomware-exploits-fortinet-auth-bypass-flaws/” الهدف=”_blank” rel=”nofollow noopener”> نشر سلالة الفدية الفائقة مرتبط بعصابة الجريمة الإلكترونية الشائنة من قبل الباحثين.

تم تصحيح ثغرة فورتينيت الثانية المستغلة في هجمات Qilin Ransomware هذه (CVE-2024-21762) في فبراير ، حيث تضيف CISA إلى كتالوجها من العيوب الأمنية المستغلة بشكل نشط و”https://www.bleepingcomputer.com/news/security/new-fortinet-rce-bug-is-actively-exploited-cisa-confirms/” الهدف=”_blank” rel=”nofollow noopener”> طلب الوكالات الفيدرالية لتأمين أجهزة Fortios و Fortiproxy بحلول 16 فبراير.

بعد شهر تقريبًا ، أعلنت مؤسسة Shadowserver أنها كانت”https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may-impact-150-000-exposed-devices/” الهدف=”_blank” rel=”nofollow noopener”> وجدت أن ما يقرب من 150،000 جهاز كانت لا تزال عرضة لهجمات CVE-2024-21762.

غالبًا ما يتم استغلال نقاط الضعف الأمنية في Fortinet (في كثير من الأحيان في أيام الصفر) في”https://www.bleepingcomputer.com/news/security/chinese-hackers-infect-dutch-military-network-with-malware/” الهدف=”_blank” rel=”nofollow noopener”> التجسس السيبراني الحملات وخرق شبكات الشركات في”https://www.bleepingcomputer.com/news/security/new-cring-ransomware-hits-unpatched-fortinet-vpn-devices/” الهدف=”_blank” rel=”nofollow noopener”> هجمات الفدية.

على سبيل المثال ، في فبراير ، Fortinet”http://www.fortinet.com/blog/psirt-blogs/importance-of-patching-an-analysis-of-the-exploitation-of-n-day-vulnerabilities” الهدف=”_blank” rel=”nofollow noopener”> تم الكشف عنها أن”https://www.bleepingcomputer.com/news/security/chinese-hackers-hid-in-us-infrastructure-network-for-5-years/” الهدف=”_blank” rel=”nofollow noopener”> مجموعة القرصنة الصينية فولت إعصار استخدمت اثنين من عيوب Fortios SSL VPN (CVE-2022-42475 و CVE-2023-27997) لنشر خبيثة Accote Access Access (الفئران) المخصصة ، والتي تم استخدامها سابقًا للتراجع”https://www.bleepingcomputer.com/news/security/chinese-hackers-infect-dutch-military-network-with-malware/” الهدف=”_blank” rel=”nofollow noopener”> وزارة الدفاع الهولندية الشبكة العسكرية.