Skip to content
  • Home
  • Blogs
  • Security
  • Medusa-aanval verijdeld: hoe een Fortinet-kwetsbaarheid leidde tot een geavanceerde inbraakpoging

In een steeds veranderend dreigingslandschap blijven aanvallers misbruik maken van niet-gepatchte kwetsbaarheden om ongeautoriseerde toegang te krijgen tot kritieke systemen. Onlangs detecteerde en verijdelde het Security Operations Centre (SOC) van Ekco een geavanceerde aanval bij een klant in het Verenigd Koninkrijk.

De aanval werd uitgevoerd door een vermoedelijke affiliate van de Medusa-ransomwaregroep, ook wel bekend als FROZEN SPIDER. James Wood (Head of SOC) beschrijft de levenscyclus van de aanval, de gebruikte technieken en geeft concrete aanbevelingen om je organisatie weerbaarder te maken tegen dit soort dreigingen.

De kwetsbaarheid: CVE-2023-48788             

De aanval begon met het misbruik van een SQL-injectiekwetsbaarheid in FortiClient Enterprise Management Server (EMS). Deze kritieke kwetsbaarheid (CVE-2023-48788) stelt aanvallers in staat om willekeurige opdrachten uit te voeren op het onderliggende besturingssysteem. Organisaties die verouderde versies van FortiClient EMS draaien, lopen hierdoor extra risico.

Belangrijke details:

      • Misbruikte functionaliteit: xp_cmdshell voor het uitvoeren van opdrachten met SYSTEM-rechten
      • Resultaat: De aanvaller kreeg een voet tussen de deur en kon snel verdere stappen zetten.

Aanvalsverloop: stap voor stap

1. Initiële toegang en remote monitoring tools

Via de SQL-injectie kon de aanvaller PowerShell gebruiken om een kwaadaardig script (a.ps1) binnen te halen vanaf een extern endpoint:

      • Malafide URL: hxxps://webhook[.]site/748f3f17-ea01-4be7-b360-e5e6933ec322

Het script installeerde WinRTM.exe, een stille installer van SimpleHelp Jwapper – een legitieme remote monitoring en management (RMM) tool die vaak wordt misbruikt om ongezien toegang te behouden.

2. Persistente toegang via lokaal account

De aanvaller gebruikte de RMM-sessie om een lokaal beheerdersaccount aan te maken:

      • Gebruikersnaam: adm
      • Wachtwoord: Password123456
      • Toegevoegd aan de groep ‘Local Administrators’ met net.exe.

3. Reconnaissance en credential dumping

Tijdens de interactieve sessie werden verschillende tools ingezet:

      • Voor credential dumping: PPLmedic.exe, PPLdump.exe en ServiceFault.exe
      • Voor uitschakelen van EDR: ‘Terminator’, via ServiceTerms.exe en ServiceTerms.sys – een zogenaamde Bring Your Own Vulnerable Driver (BYOVD) aanval

Er waren meerdere (onsuccesvolle) pogingen om het geheugen van het LSASS-proces (Local Security Authority Subsystem Service) te dumpen, waarschijnlijk om laterale beweging binnen het netwerk mogelijk te maken.

Snel en effectief ingrijpen door het Security Operations Centre (SOC)

Het Security Operations Centre detecteerde de kwaadaardige activiteit, greep onmiddellijk in en verwijderde de aanvaller uit de omgeving. De volgende acties werden uitgevoerd:

      • Isolatie van de getroffen server om verspreiding te voorkomen
      • Deactiveren van het ongeautoriseerde account
      • Beëindigen van de RMM-sessie, waarmee de aanvaller zijn toegang verloor

Hierdoor werd verdere escalatie voorkomen.

Aantonen van herkomst: FROZEN SPIDER (Medusa)

Op basis van de waargenomen tactieken, technieken en procedures (TTP’s), concludeert het Security Operations Centre met redelijke zekerheid dat het gaat om een affiliate van de Medusa-groep. Deze conclusie is gebaseerd op:

      • Exploitatie van CVE-2023-48788
      • Gebruik van PowerShell-scripts vanaf malafide URL’s
      • Inzet van SimpleHelp als persistentiemiddel
      • Aanmaak van lokale beheerdersaccounts
      • Pogingen tot credential dumping via LSASS
      • Gebruik van Terminator voor het omzeilen van beveiligingssoftware

Wat kun je doen om dit te voorkomen?

Onze aanbevelingen:

      • Patch management: Installeer direct beveiligingsupdates voor FortiClient EMS
      • RMM-monitoring: Houd toezicht op gebruik van tools als SimpleHelp
      • Bescherming van credentials: Activeer bescherming van LSASS-geheugen
      • PowerShell-logging: Zet script block logging aan en controleer op verdachte activiteit
      • Beheer van beheerdersaccounts: Controleer regelmatig wie lid is van de Local Administrators-groep
      • EDR-beveiliging: Bescherm je endpoints tegen BYOVD-aanvallen
      • Netwerksegmentatie: Zorg dat kritieke servers geïsoleerd zijn
      • Detectie & response: Gebruik gedrag gebaseerde detectietools om afwijkende patronen zoals vreemde PowerShell-commando’s of accountaanmaak op te sporen

Tot slot

Deze casus toont aan hoe een enkele kwetsbaarheid – wanneer niet tijdig verholpen – kan uitgroeien tot een serieuze dreiging. Door gebruik te maken van RMM-tools, het aanmaken van beheerdersaccounts en het inzetten van geavanceerde MDR-bypass technieken, kunnen aanvallers razendsnel grip krijgen op je omgeving.

Dankzij snelle actie van het Security Operations Centre kon de aanval op tijd gestopt worden. Dit onderstreept het belang van patching, continue monitoring en een adequate response-strategie.

Meer weten over hoe ons SOC jouw organisatie kan beschermen? Neem contact met ons op.

pic

Heb je een vraag?
Onze specialisten staan voor je klaar

Neem contact op