
Pemburu ancaman meminta perhatian pada kampanye baru yang menargetkan perangkat firewall Fortinet FortiGate dengan antarmuka manajemen yang terekspos di internet publik.
“Kampanye ini melibatkan login administratif yang tidak sah pada antarmuka manajemen firewall, pembuatan akun baru, otentikasi SSL VPN melalui akun tersebut, dan berbagai perubahan konfigurasi lainnya,” kata perusahaan keamanan siber Arctic Wolf dalam analisis yang dipublikasikan pekan lalu.
Aktivitas berbahaya ini diyakini telah dimulai pada pertengahan November 2024, dengan pelaku ancaman yang tidak diketahui mendapatkan akses tidak sah ke antarmuka manajemen pada firewall yang terpengaruh untuk mengubah konfigurasi dan mengekstrak kredensial menggunakan DCSync.
Vektor akses awal yang tepat saat ini tidak diketahui, meskipun telah dinilai dengan “keyakinan tinggi” bahwa kemungkinan besar hal ini didorong oleh eksploitasi kerentanan zero-day mengingat “garis waktu terkompresi di seluruh organisasi yang terkena dampak serta versi firmware yang terpengaruh.”

Versi firmware perangkat yang terkena dampak berkisar antara 7.0.14 dan 7.0.16, yang dirilis masing-masing pada bulan Februari dan Oktober 2024.
Kampanye ini terlihat melalui empat fase serangan berbeda yang dimulai sekitar tanggal 16 November 2024, yang memungkinkan pelaku kejahatan untuk berkembang dari pemindaian dan pengintaian kerentanan hingga perubahan konfigurasi dan pergerakan lateral.
“Apa yang menonjol dari aktivitas ini dibandingkan dengan aktivitas firewall yang sah adalah kenyataan bahwa mereka memanfaatkan antarmuka jsconsole secara ekstensif dari beberapa alamat IP yang tidak biasa,” kata peneliti Arctic Wolf.
“Mengingat perbedaan halus dalam bidang perdagangan dan infrastruktur di antara intrusi, ada kemungkinan bahwa banyak individu atau kelompok terlibat dalam kampanye ini, namun penggunaan jsconsole adalah benang merah yang umum.”

Pembobolan digital, singkatnya, melibatkan penyerang yang masuk ke antarmuka manajemen firewall untuk membuat perubahan konfigurasi, termasuk memodifikasi pengaturan keluaran dari “standar” menjadi “lebih banyak”, sebagai bagian dari upaya pengintaian awal, sebelum melakukan pengintaian yang lebih ekstensif. perubahan pembuatan akun super admin baru pada awal Desember 2024.
Akun admin super yang baru dibuat ini kemudian digunakan untuk menyiapkan hingga enam akun pengguna lokal baru per perangkat dan menambahkannya ke grup yang sudah ada yang sebelumnya dibuat oleh organisasi korban untuk akses SSL VPN. Dalam insiden lain, akun yang ada dibajak dan ditambahkan ke grup yang memiliki akses VPN.
“Pelaku ancaman juga terlihat membuat portal SSL VPN baru yang mereka tambahkan akun pengguna secara langsung,” kata Arctic Wolf. “Setelah melakukan perubahan yang diperlukan, pelaku ancaman membuat terowongan SSL VPN dengan perangkat yang terpengaruh. Semua alamat IP klien terowongan tersebut berasal dari beberapa penyedia hosting VPS.”

Kampanye ini mencapai puncaknya dengan musuh memanfaatkan akses SSL VPN untuk mengekstrak kredensial pergerakan lateral menggunakan teknik yang disebut DCSync. Meskipun demikian, saat ini tidak ada kejelasan mengenai tujuan akhir mereka karena mereka telah dibersihkan dari lingkungan yang telah dikompromikan sebelum serangan dapat dilanjutkan ke tahap berikutnya.
Untuk memitigasi risiko tersebut, penting bagi organisasi untuk tidak mengekspos antarmuka manajemen firewall mereka ke internet dan membatasi akses hanya kepada pengguna tepercaya.
“Viktimologi dalam kampanye ini tidak terbatas pada sektor atau ukuran organisasi tertentu,” kata perusahaan itu. “Keberagaman profil organisasi korban dikombinasikan dengan munculnya peristiwa login/logout otomatis menunjukkan bahwa penargetan bersifat oportunistik dan bukan ditargetkan secara sengaja dan metodis.”