黑客利用未打补丁的VPN在工业目标上安装勒索软件

在针对欧洲工业企业的一系列攻击中，未打补丁的Fortinet VPN设备成为攻击目标，目的是在企业网络中部署一种称为“Cring”的新型勒索软件。

网络安全公司卡巴斯基（Kaspersky）在周三发布的一份报告中称，至少有一起黑客事件导致一个生产网站暂时关闭，但没有公开受害者的姓名。

袭击发生在2021第一季度，从一月到3月。

卡巴斯基ICS CERT的安全研究员Vyacheslav Kopeytsev说：“攻击的各种细节表明，攻击者仔细分析了目标组织的基础设施，并根据侦察阶段收集的信息准备了自己的基础设施和工具集。”。

几天前，联邦调查局（FBI）和网络安全与基础设施安全局（CISA）警告称，高级持续威胁（APT）参与者正在积极扫描易受CVE-2018-13379等攻击的Fortinet SSL VPN设备。

该机构表示：“APT参与者可能会利用这些漏洞或其他常见的利用技术，获得对多个政府、商业和技术服务的初始访问权。获得初始访问权将使APT参与者能够在未来进行攻击。”。

CVE-2018-13379涉及FortiOS SSL VPN web portal中的路径穿越漏洞，该漏洞允许未经验证的攻击者读取任意系统文件，包括会话文件，其中包含以明文形式存储的用户名和密码。

尽管该漏洞的补丁已于2019年5月发布，但Fortinet去年11月表示，它发现了“大量”VPN设备尚未修补，同时还警告说，那些面向互联网的易受攻击设备的IP地址正在黑暗网络上出售。

在与《黑客新闻》分享的一份声明中，Fortinet表示，在2019年5月修复后，“在2019年8月、2020年7月和2021年4月多次”敦促客户升级设备。“如果客户没有这样做，我们敦促他们立即实施升级和缓解措施，”该公司说。

根据卡巴斯基的事件响应，针对欧洲企业的攻击也没有什么不同。卡巴斯基的事件响应发现，使用Cring勒索软件涉及利用CVE-2018-13379访问目标网络。

卡巴斯基研究人员说：“在操作的主要阶段之前的一段时间，攻击者对VPN网关进行了测试连接，显然是为了确保被盗的VPN用户凭据仍然有效。”。

在获得访问权限后，据说对手使用Mimikatz实用程序窃取了之前登录到受损系统的Windows用户的帐户凭据，然后利用这些凭据入侵域管理员帐户，在网络上横向移动，并最终使用Cobalt Strike框架在每台机器上远程部署Cring勒索软件。

CRIN是电信提供商SWISCOM在2021年1月首次观察到的一种新生的病毒，在删除所有备份文件的踪迹并终止微软Office和Oracle数据库进程之后，使用强加密算法对设备上的特定文件进行加密。加密成功后，它会丢弃一张要求支付两个比特币的赎金便条。

更重要的是，威胁参与者小心翼翼地隐藏自己的活动，以“卡巴斯基”的名义伪装恶意PowerShell脚本以逃避检测，并确保承载勒索软件有效载荷的服务器只响应来自欧洲国家的请求。

Kopeytsev说：“对攻击者活动的分析表明，根据对被攻击组织的网络进行的侦察结果，他们选择加密那些攻击者认为一旦丢失将对企业运营造成最大损害的服务器。”。