APT 通过未修补的 Fortinet VPN 入侵了美国市政府网络

美国联邦调查局（FBI）透露，外国黑客利用未打补丁的Fortinet VPN中的漏洞破坏了美国地方政府的网络。

联邦调查局（FBI）报告说，一个APT团体通过利用未修补的Fortinet VPN中的漏洞破坏了美国地方政府的网络。

“ FBI继续警告利用Pertinet漏洞的高级持续威胁（APT）参与者。至少到2021年5月，APT行动者团体几乎可以肯定地利用了Fortigate设备访问了托管美国市政府域名的网络服务器。” 读取FBI发出的警报。

联邦调查局（Fed）发现了2021年5月的袭击事件，政府专家报告说，威胁行为者可能使用用户名“ elie”创建了一个帐户，以在网络上保持持久性。

4月份，联邦调查局和网络安全与基础设施安全局（CISA）先前曾警告APT团体使用多种攻击手段针对Fortinet FortiOS服务器实施攻击。

威胁参与者正在积极利用Fortinet FortiOS中的以下漏洞：

• CVE-2018-13379 ;
• CVE-2020-12812 ;
• CVE-2019-5591 ;

美国联邦调查局（FBI）发布的警报提供了有关针对美国市政府的攻击的技术详细信息。专家注意到，APT组建立了新的用户帐户，这些帐户看起来与网络上的其他现有帐户相似。攻击者还使用了以下帐户用户名

• “ellie”
• “ WADGUtilityAccount”

威胁参与者可能还对任务计划程序进行了修改，可能显示为无法识别的计划任务或“动作”。在专家分析的攻击中，黑客创建了“ SynchronizeTimeZone”任务。

• 与此攻击相关的工具为：
• Mimikatz（凭证盗窃）
• MinerGate（密码挖掘）
• WinPEAS（特权升级）
• SharpWMI（Windows管理规范）
• 预期不到时激活BitLocker（数据加密）
• 不在预期中的WinRAR（存档）
• FileZilla不在预期的位置（文件传输）

警报中还包括其他危害指标。