در جدیدترین موج حملات سایبری، گروه باجافزاری Qilin با سوءاستفاده از دو آسیبپذیری مهم در محصولات Fortinet، حملات گستردهای را علیه سازمانهای مختلف آغاز کرده است. این آسیبپذیریها به مهاجمان این امکان را میدهند تا بدون نیاز به احراز هویت به دستگاههای آسیبپذیر دسترسی پیدا کرده و کدهای مخرب را از راه دور اجرا کنند. گروه Qilin که با نام Phantom Mantis نیز شناخته میشود، نخستین بار در آگوست ۲۰۲۲ فعالیت خود را به عنوان یک عملیات باجافزاری مبتنی بر مدل Ransomware-as-a-Service با نام Agenda آغاز کرد و از آن زمان تاکنون مسئولیت بیش از ۳۱۰ حمله موفق را در وبسایت افشای اطلاعات خود در دارک وب منتشر کرده است.
در فهرست قربانیان این گروه، نام سازمانهای برجستهای دیده میشود، از جمله شرکت بزرگ خودروسازی Yangfeng، شرکت بزرگ انتشاراتی Lee Enterprises، نهاد خدمات قضایی ایالت ویکتوریا در استرالیا و شرکت Synnovis که خدمات آزمایشگاهی ارائه میدهد. حمله به Synnovis چندین بیمارستان بزرگ NHS در لندن را تحت تأثیر قرار داد و باعث لغو صدها قرار ملاقات و عمل جراحی شد.
بر اساس گزارش شرکت امنیتی PRODAFT، حملات اخیر گروه باجافزاری Qilin به صورت نیمه خودکار انجام شده و عمدتاً بر سوءاستفاده از آسیبپذیریهای موجود در محصولات Fortinet متمرکز است. بنابر این گزارش، مهاجمان در حال حاضر سازمانهایی را در کشورهای اسپانیایی زبان هدف قرار دادهاند، اما پیشبینی میشود این کمپین سایبری به زودی به سایر نقاط جهان گسترش یابد.
در این موج از حملات، مهاجمان با سوءاستفاده از چندین آسیبپذیری امنیتی از جمله CVE-2024-21762 و CVE-2024-55591 اقدام به نفوذ کردهاند. آسیبپذیری CVE-2024-55591 پیشتر نیز به عنوان یک آسیب پذیری روز صفر توسط گروههای تهدیدگر مورد بهرهبرداری قرار گرفته بود.
آسیبپذیری دوم، یعنی CVE-2024-21762، در فوریه ۲۰۲۵ توسط Fortinet با انتشار به روزرسانی امنیتی رفع شد و سازمان CISA نیز آن را در فهرست آسیبپذیریهای مورد سوءاستفاده فعال قرار داد. این سازمان از نهادهای فدرال خواست تا محصولات FortiOS و FortiProxy خود را تا تاریخ ۱۶ فوریه به روزرسانی و ایمن سازی کنند. با این حال، گزارش بنیاد Shadowserver در ماه مارس نشان داد که هنوز حدود ۱۵۰ هزار دستگاه در برابر این موارد، آسیبپذیر باقی ماندهاند.
با توجه به سوءاستفاده گسترده و مکرر از آسیبپذیریهای محصولات Fortinet، کارشناسان امنیتی هشدار دادهاند که سازمانها باید هر چه سریعتر اقدام به بررسی، به روزرسانی و تقویت امنیت زیرساختهای خود کنند تا از نفوذ احتمالی جلوگیری شود. همچنین توصیه میشود سیستمهای امنیتی به روز نگه داشته شده و نظارت مستمر بر ترافیک شبکه انجام گیرد تا حملات مشابه در مراحل اولیه شناسایی و مهار شوند.
منبع: www.bleepingcomputer.com