CVE-2022-406841

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

Расследование деятельности Belsen Group и ее потенциальной связи с ZeroSevenGroup выявило меняющийся ландшафт киберпреступной деятельности, связанной с Йеменом. Группа компаний Belsen появилась в январе 2025 года и попала в заголовки газет главным образом благодаря утечке 1,6 ГБ конфиденциальных данных с более чем 15 000 уязвимых устройств Fortinet FortiGate. Этот эксплойт был реализован с использованием CVE-2022-406841, критической уязвимости для обхода аутентификации в брандмауэрах Fortinet, которая предполагает, что группа Belsen, возможно, имела постоянный доступ к этим устройствам в течение длительного времени, прежде чем инициировать утечку данных.

Начальный этап деятельности Belsen Group включал в себя бесплатное предоставление утечек данных для установления доверия, за которым последовали попытки монетизировать доступ к скомпрометированным сетям в различных регионах, включая Африку, США и Азию. Однако по-прежнему нет никаких доказательств, подтверждающих, что доступ к сети, который они якобы продали, был успешно использован или получен третьими лицами. Коммуникационная стратегия группы включала использование таких платформ, как Tox, XMPP, Telegram и Социальные сети, для поддержания контактов с потенциальными клиентами или аудиториями, что было дополнено созданием сайта onion, на котором подробно описывалась их деятельность.

С другой стороны, ZeroSevenGroup, которая работает с середины 2024 года, имеет опыт эксплуатации многочисленных компаний и монетизации украденных данных. Эта группа идентифицирована как активная на нескольких платформах, включая NulledTo и BreachForums, где они нацелены на фирмы на ключевых международных рынках, таких как Польша, Израиль и США. Их деятельность достигла заметного пика после взлома американского филиала Toyota, где произошла утечка внушительных 240 ГБ конфиденциальной информации. Этот инцидент стал примером их тактики первоначального предоставления бесплатных данных, прежде чем перейти к продаже больших наборов данных, которые часто размещались в Облачных сервисах, таких как Terabox и Mega, для распространения.

Тщательный анализ показывает, что обе группы демонстрируют поразительное сходство в форматировании постов и стилях общения, а в их соответствующих постах на форумах по киберпреступности наблюдаются свидетельства общей тактики. В частности, обе группы использовали идентичные форматы заголовков в своих сообщениях, используя квадратные скобки и согласованную формулировку, а также схожую стратегию использования хэштегов на таких платформах, как Twitter. Эти показатели потенциально указывают на совместное поведение или, по крайней мере, скоординированный подход к их киберпреступной деятельности, что требует дальнейшего изучения их операционных структур и взаимосвязей в рамках более широкого ландшафта киберугроз.