勒索軟體Qilin利用Fortinet已知漏洞從事攻擊行動

去年攻擊英國倫敦醫院服務供應商Synnovis、今年3月攻擊吉隆坡國際機場（KLIA）的勒索軟體駭客組織Qilin，最近傳出發起新一波的攻擊行動，針對特定廠牌防火牆已知資安漏洞而來，過程完全自動化進行。

勒索軟體Qilin自2022年8月開始出沒，也被稱為Agenda，駭客以租用服務（Ransomware-as-a-Service）的型態經營，這幾年傳出受害者相當廣泛，還包含中國汽車內裝零件製造商延峰（Yangfeng）、美國新聞媒體業者Lee Enterprises，以及澳洲法院服務業者Victoria等。其中，攻擊Synnovis導致英國倫敦多家醫院停擺的情況，受到全球高度關注。

根據資安新聞網站Bleeping Computer的報導，資安業者Prodaft指出，這些駭客在今年5月至6月之間，發起鎖定多個企業組織的攻擊活動，利用Fortinet防火牆的已知漏洞來取得初始入侵管道，其中包含CVE-2024-21762、CVE-2024-55591。

而對於這些駭客針對的目標，研究人員指出共通點是來自使用西班牙語的國家，但他們認為駭客應該會隨機挑選下手目標，而非特別局限於特定的地理區域從事相關活動。

上述研究人員提及的防火牆漏洞，皆已用於實際攻擊行動，而且，CVE-2024-55591被用於散布勒索軟體已非首例，今年1月下旬，使用俄語的駭客組織Mora_001藉此部署以LockBit 3.0為基礎的勒索軟體SuperBlack；另一個漏洞CVE-2024-21762，美國網路安全暨基礎設施安全局（CISA）於2月列入已遭利用的漏洞名冊（KEV）。