APT 通过未修补的 Fortinet VPN 入侵了美国市政府网络

Andrew 2021-05-28
专栏 - 资讯 发布于 2021-05-28 13:47:24 阅读 771 评论 0

美国联邦调查局(FBI)透露,外国黑客利用未打补丁的Fortinet VPN中的漏洞破坏了美国地方政府的网络。

联邦调查局(FBI)报告说,一个APT团体通过利用未修补的Fortinet VPN中的漏洞破坏了美国地方政府的网络。

“ FBI继续警告利用Pertinet漏洞的高级持续威胁(APT)参与者。至少到2021年5月,APT行动者团体几乎可以肯定地利用了Fortigate设备访问了托管美国市政府域名的网络服务器。” 读取FBI发出的警报。

联邦调查局(Fed)发现了2021年5月的袭击事件,政府专家报告说,威胁行为者可能使用用户名“ elie”创建了一个帐户,以在网络上保持持久性。

4月份,联邦调查局和网络安全与基础设施安全局(CISA)先前曾警告APT团体使用多种攻击手段针对Fortinet FortiOS服务器实施攻击。

威胁参与者正在积极利用Fortinet FortiOS中的以下漏洞:

  • CVE-2018-13379 ;
  • CVE-2020-12812 ;
  • CVE-2019-5591 ;

美国联邦调查局(FBI)发布的警报提供了有关针对美国市政府的攻击的技术详细信息。专家注意到,APT组建立了新的用户帐户,这些帐户看起来与网络上的其他现有帐户相似。攻击者还使用了以下帐户用户名

  • “ellie”
  • “ WADGUtilityAccount”

威胁参与者可能还对任务计划程序进行了修改,可能显示为无法识别的计划任务或“动作”。在专家分析的攻击中,黑客创建了“ SynchronizeTimeZone”任务。

  • 与此攻击相关的工具为:
  • Mimikatz(凭证盗窃)
  • MinerGate(密码挖掘)
  • WinPEAS(特权升级)
  • SharpWMI(Windows管理规范)
  • 预期不到时激活BitLocker(数据加密)
  • 不在预期中的WinRAR(存档)
  • FileZilla不在预期的位置(文件传输)

警报中还包括其他危害指标。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!