APT 通過未修補的 Fortinet VPN 入侵了美國市政府網絡

美國聯邦調查局（FBI）透露，外國黑客利用未打補丁的Fortinet VPN中的漏洞破壞了美國地方政府的網絡。

聯邦調查局（FBI）報告說，一個APT團體通過利用未修補的Fortinet VPN中的漏洞破壞了美國地方政府的網絡。

“ FBI繼續警告利用Pertinet漏洞的高級持續威脅（APT）參與者。至少到2021年5月，APT行動者團體幾乎可以肯定地利用了Fortigate設備訪問了托管美國市政府域名的網絡服務器。” 讀取FBI發出的警報。

聯邦調查局（Fed）發現了2021年5月的襲擊事件，政府專家報告說，威脅行為者可能使用用戶名“ elie”創建了一個帳戶，以在網絡上保持持久性。

4月份，聯邦調查局和網絡安全與基礎設施安全局（CISA）先前曾警告APT團體使用多種攻擊手段針對Fortinet FortiOS服務器實施攻擊。

威脅參與者正在積極利用Fortinet FortiOS中的以下漏洞：

• CVE-2018-13379 ;
• CVE-2020-12812 ;
• CVE-2019-5591 ;

美國聯邦調查局（FBI）發布的警報提供了有關針對美國市政府的攻擊的技術詳細信息。專家注意到，APT組建立了新的用戶帳戶，這些帳戶看起來與網絡上的其他現有帳戶相似。攻擊者還使用了以下帳戶用戶名

• “ellie”
• “ WADGUtilityAccount”

威脅參與者可能還對任務計劃程序進行了修改，可能顯示為無法識別的計劃任務或“動作”。在專家分析的攻擊中，黑客創建了“ SynchronizeTimeZone”任務。

• 與此攻擊相關的工具為：
• Mimikatz（憑證盜竊）
• MinerGate（密碼挖掘）
• WinPEAS（特權升級）
• SharpWMI（Windows管理規范）
• 預期不到時激活BitLocker（數據加密）
• 不在預期中的WinRAR（存檔）
• FileZilla不在預期的位置（文件傳輸）

警報中還包括其他危害指標。