資安研究人員發現,一個名為「Mora_001」的勒索軟體攻擊者正在利用Fortinet產品中的兩個身份驗證繞過漏洞,未經授權存取防火牆設備並部署一種名為SuperBlack勒索軟體。
漏洞利用細節
被利用的兩個漏洞分別是CVE-2024-55591和CVE-2025-24472,這些漏洞分別於2025年1月和2月被Fortinet披露。
Fortinet在1月14日
首次披露CVE-2024-55591時確認,該漏洞已被作為零日漏洞利用。根據Arctic Wolf的說法,自2024年11月以來,攻擊者已利用此漏洞入侵FortiGate防火牆。
2月11日,Fortinet在其1月份的公告中添加了CVE-2025-24472,這導致許多人認為這是一個新發現的被利用漏洞。然而,Fortinet當時告訴外媒,這個漏洞也在2024年1月被修復,且未被利用。
然而,據Forescout研究人員的報告,他們在2025年1月底發現了SuperBlack攻擊,威脅行為者最早於2025年2月2日開始利用CVE-2025-24472。隨後,Fortinet於2月11日更新了其公告,承認CVE-2025-24472正被積極利用。
SuperBlack勒索軟體攻擊流程
Forescout表示,Mora_001勒索軟體攻擊者遵循高度結構化的攻擊鏈,在不同受害者之間手法相似:
- 攻擊者利用兩個Fortinet漏洞獲取「super_admin」權限,使用基於WebSocket的攻擊通過jsconsole界面或向暴露的防火牆界面發送直接HTTPS請求。
- 建立新的管理員帳戶(forticloud-tech、fortigate-firewall、adnimistrator)並修改自動化任務,以在這些帳戶被刪除時重新創建。
- 攻擊者繪製網絡圖並嘗試橫向移動,使用竊取的VPN憑證和新添加的VPN帳戶、Windows管理工具(WMIC)和SSH,以及TACACS+/RADIUS認證。
- Mora_001在加密文件進行雙重勒索前,使用自定義工具竊取數據,優先針對文件和數據庫服務器以及域控制器。
- 加密過程完成後,勒索信會被放置在受害者系統上。然後部署一個名為「WipeBlack」的自定義擦除工具,移除所有勒索軟體可執行文件的痕跡,以阻礙取證分析。
與LockBit的聯繫
Forescout發現了大量證據,表明SuperBlack勒索軟體操作與LockBit勒索軟體之間存在強烈聯繫,儘管SuperBlack似乎獨立行動:
- SuperBlack加密器是基於LockBit 3.0洩露的構建器,具有相同的有效負載結構和加密方法,但移除了所有原始品牌標識。
- SuperBlack的勒索信包含一個與LockBit操作相關的TOX聊天ID,表明Mora_001可能是前LockBit合作夥伴或其核心團隊的前成員,負責管理勒索款項和談判。
- 與先前LockBit操作相關的IP地址有大量重疊。此外,WipeBlack也被BrainCipher勒索軟體、EstateRansomware和SenSayQ勒索軟體使用,這些都與LockBit有關聯。
防護建議
Forescout研究人員緊急警告組織應採取措施防禦這一威脅。為了減輕這些威脅,建議Fortinet用戶:
- 及時修補易受攻擊的系統
- 限制管理訪問權限
- 審核管理員帳戶
- 檢查自動化設置
- 審查VPN用戶
- 啟用全面日誌記錄
安全專家強調,組織必須採用深度防禦方法,正確分割網路並實施分層安全控制,以限制攻擊者實現目標的能力。