骇客组织利用尚未公开的零时差漏洞隐匿攻击行动的情况,近期有不少研究人员公布相关的发现,例如:中国骇客组织在Fortinet发布修补程式的2个月前,
资安业者Mandiant指出,他们曾于今年1月揭露中国骇客组织UNC3886从事多年的攻击行动,对方自2021年底利用VMware vCenter的重大漏洞CVE-2023-34048,并在瘫痪VMware服务后的数分钟内,部署后门程式。 但后来他们发现,除此之外,他们也发现这些骇客也有利用FortiOS的SSL VPN漏洞CVE-2022-42475的情况,而这项漏洞能让攻击者借由发送伪造的请求执行任意程式码。 在成功利用上述漏洞控制vCenter伺服器及ESXi伺服器后,对方于虚拟机器部署名为Reptile、Medusa两款rootkit,以便在不被察觉异状的情况下,持续存取受害的网路环境。 而为了远端进行控制,这些骇客也使用名为Mopsled、Riflespine的恶意程式,它们滥用GitHub及Google Drive做为存取C2的通道。