最近,Fortinet 发布了一份安全公告,指出两个 CVE(CVE-2024–55591 和 CVE-2022–40684)正在被积极利用。我开始从威胁狩猎的角度进行审视,但由于公告中描述整体情况的技术细节较少,我转而进行对抗性基础设施分析,希望能发现关联,从而扩展可观测指标和攻击模式。从 Fortinet 公告中的 IOC 出发,我们将其与 Arctic Wolf 的“Console Chaos”研究以及其他可能关联到 Core Werewolf(也称为 PseudoGamaredon 或 Awaken Likho)威胁攻击者组织的 pivoting 结果进行了关联。
Fortinet 公告
当我第一次看到 Fortinet 公告中提到回环地址和 Google DNS 这类常见元素时,差点打翻了咖啡。但重新阅读公告并结合上下文,我逐渐理解了为什么提到这些内容。在承认这些信息在特定场景下可能有价值的同时,我忽略了这些“数值”,而是专注于报告中的其他 IOC。
理解基础设施分析
基础设施分析并不完全属于威胁狩猎的范畴,但它能够为威胁狩猎研究提供支持。因此,它的范围与威胁情报分析师或网络犯罪分析师有所不同。这种分析帮助我们审视攻击者可能使用的系统、服务和网络,从而…… CSD0tFqvECLokhw9aBeRqj32MjZEkRbP4BmtnhmXRDUkHln2YpQjW9o38X3UqDR3vrmuqRyFUkRFh4E4UsPxHkVRQvVUDeKY5eUMFSvbi5pT3A9cJ2qEC0xEMMZTeCFIsEYvAr2FNrhMmtHCEnPnOQ==
