Целью атак APT41 на уязвимости Fortinet является развертывание KEYPLUG

Группа APT41, которая является активным участником государственно поддерживаемых действий со стороны Китая, использовала различные уязвимости, такие как Log4Shell (CVE-2021-44228), чтобы развернуть инструмент KEYPLUG на объектах с операционными системами Linux и Windows. Уязвимости Fortinet были использованы другими субъектами: уязвимость CVE-2022-40684 была использована APT41, а уязвимость CVE-2023-48788 - другими субъектами для доставки инструментов RMM.

Основные выводы:

• Группа APT41 - это злоумышленник, занимающийся шпионажем и финансовыми операциями, существующий с 2012 года и обладающий обширным инструментарием и глобальным охватом.
• Уязвимость CVE-2023-48788 - критическая уязвимость SQL Injection в продукте FortiClient EMS, позволяющая осуществить атаку удаленного выполнения кода через xp_cmdshell.
• Уязвимость CVE-2022-40684 - обход аутентификации в системах FortiOS, позволяющий получить удаленное управление администратора.
• Инструмент KEYPLUG был развернут группой APT41 после эксплуатации уязвимости Log4j, но пока не было замечено его использование вместе с уязвимостями Fortinet.
• Нет доказательств прямого развертывания инструмента KEYPLUG через уязвимости Fortinet.
• Некоторые индикаторы компрометации, изначально связанные с инструментом KEYPLUG, на самом деле были связаны с другой платформой вредоносного ПО группы APT41, известной как DEEPDATA.

Группа APT41, также известная как Double Dragon, известна своим участием как в государственном шпионаже, так и в киберпреступности с финансовой составляющей. Они эксплуатируют уязвимости и используют различные вредоносные программы, включая KEYPLUG, DEEPDATA, PlugX, DUSTPAN и Cobalt Strike. Их цели охватывают множество отраслей и они активны на всех континентах.

IPv4

• 154.31.217.200

Domains

• combinechina.com

SHA1

• 1567b74dfcdf7c4c2454f2b84ecee915d9bb3f11
• 6b325f1cd5626d15c10b45793ffe88edf4ca07a9

SHA256

• 09b220a315ea0aebae2de835a3240d3690c962a3c801dd1c1cf6e6e2c84ede95
• 2386baf4bf3a57ae7bca44c952855a98edf569da7b62bb0c8cbe414f1800d2b6
• 468b1799fbda3097b345a59bc1fec1cbc2a015efa473b043a69765a987ad54ed
• 4c1baa3abb774b4c649c87417acaa4396eba40e5028b43fade4c685a405cc3bf
• 53a24e00ae671879ea3677a29ee1b10706aa5aa0dccd4697c3a94ee05df2ec45
• 7146774db3c77e27b7eb48745aef56b50e0e7d87280fea03fa6890646af50d50
• 759246465014acaf3e75a575d6fe36720cfdbfe2eeac1893fe6d7a0474815552
• 827b5d8ed210a85bf06214e500a955f5ad72bd0afd90127de727eb7d5d70187e
• 98261d1f92ae8f7a479bc5fc4d0a8d6a76c0d534e63e9edbc2d6257a9ba84b9d
• c1da6449513844277acc969aae853a502f177e92f98d37544f94a8987e6e2308
• c8d2b2ba5b6585584200ca46564b47db8048d748aefbdfe537bceaf27fb93ad7
• f21a7180405c52565fdc7a81b2fb5a494a3d936a25d1b30b9bd4b69a5e1de9a3