【図表】
攻撃に使用されたホスト
出典: https://rocket-boys.co.jp/9995/
【概要】
| 項目 |
内容 |
|---|---|
| 攻撃組織 | UNC5820 |
| 被害製品 | FortiManager |
| ベンダー | Fortinet |
| 被害機器 | 50台以上に侵入 |
■攻撃の特徴
| 項目 |
内容 |
備考 |
|---|---|---|
| 攻撃開始時期 | 2024/06/27 | |
| 攻撃組織 | UNC5820 | |
| 生成ファイル | /tmp/.tm | 管理対象 FortiGate デバイスに関する漏洩情報 FortiManager サーバーに関する情報 グローバル データベースを含む gzip アーカイブ |
| /fds/data/unreg_devices.txt | 登録解除されたデバイスのシリアル番号と IP アドレス | |
| /fds/data/subs.dat.tmp | 不明 | |
| /fds/data/subs.dat |
■最初の攻撃
| 項目 |
内容 |
|---|---|
| 攻撃時期 | 2024/06/27 |
| 攻撃元IPアドレス | 45.32.41[.]202 |
| 攻撃元ホスト名 | localhost |
| 攻撃元シリアル番号 | FMG-VMTM23017412 |
【ニュース】
■2024年
◇2024年10月
◆Mandiant says new Fortinet flaw has been exploited since June (BleepingComputer, 2024/10/24 01:05)
[Mandiantによると、6月以来、Fortinetの新たな脆弱性が悪用されているという。]
https://www.bleepingcomputer.com/news/security/mandiant-says-new-fortinet-fortimanager-flaw-has-been-exploited-since-june/
⇒ https://malware-log.hatenablog.com/entry/2024/10/24/000000
◆Fortinet、悪用されたFortiManagerのゼロデイ脆弱性について公表 (ITmedia, 2024/10/24 14:30)
https://www.itmedia.co.jp/news/articles/2410/24/news150.html
⇒ https://malware-log.hatenablog.com/entry/2024/10/24/000000_2
◆フォーティネットの管理ツールに重大な脆弱性、グーグルが悪用攻撃を確認 (ZDNet, 2024/10/24 15:57)
https://japan.zdnet.com/article/35225325/
⇒ https://malware-log.hatenablog.com/entry/2024/10/24/000000_1
◆「FortiManager」脆弱性、6月下旬より悪用 - 被害機器は50以上か (Security NEXT, 2024/10/24)
https://www.security-next.com/163421
⇒ https://malware-log.hatenablog.com/entry/2024/10/24/000000_3
◆Mandiant、FortiManagerの脆弱性(CVE-2024-47575)が6月からゼロデイ攻撃に悪用されている事を発表 (Rocket Boys, 2024/10/25)
https://rocket-boys.co.jp/9995/
⇒ https://malware-log.hatenablog.com/entry/2024/10/25/000000
【検索】
google: UNC5820
google:news: UNC5820
google: site:virustotal.com UNC5820
google: site:github.com UNC5820
■Bing
https://www.bing.com/search?q=UNC5820
https://www.bing.com/news/search?q=UNC5820
https://twitter.com/search?q=%23UNC5820
https://twitter.com/hashtag/UNC5820
■VirusTotal
