新型SuperBlack勒索軟體利用Fortinet身份驗證漏洞攻擊

資安研究人員發現，一個名為「Mora_001」的勒索軟體攻擊者正在利用Fortinet產品中的兩個身份驗證繞過漏洞，未經授權存取防火牆設備並部署一種名為SuperBlack勒索軟體。

漏洞利用細節

被利用的兩個漏洞分別是CVE-2024-55591和CVE-2025-24472，這些漏洞分別於2025年1月和2月被Fortinet披露。

Fortinet在1月14日首次披露CVE-2024-55591時確認，該漏洞已被作為零日漏洞利用。根據Arctic Wolf的說法，自2024年11月以來，攻擊者已利用此漏洞入侵FortiGate防火牆。

2月11日，Fortinet在其1月份的公告中添加了CVE-2025-24472，這導致許多人認為這是一個新發現的被利用漏洞。然而，Fortinet當時告訴外媒，這個漏洞也在2024年1月被修復，且未被利用。

然而，據Forescout研究人員的報告，他們在2025年1月底發現了SuperBlack攻擊，威脅行為者最早於2025年2月2日開始利用CVE-2025-24472。隨後，Fortinet於2月11日更新了其公告，承認CVE-2025-24472正被積極利用。

SuperBlack勒索軟體攻擊流程

Forescout表示，Mora_001勒索軟體攻擊者遵循高度結構化的攻擊鏈，在不同受害者之間手法相似：

1. 攻擊者利用兩個Fortinet漏洞獲取「super_admin」權限，使用基於WebSocket的攻擊通過jsconsole界面或向暴露的防火牆界面發送直接HTTPS請求。
2. 建立新的管理員帳戶（forticloud-tech、fortigate-firewall、adnimistrator）並修改自動化任務，以在這些帳戶被刪除時重新創建。
3. 攻擊者繪製網絡圖並嘗試橫向移動，使用竊取的VPN憑證和新添加的VPN帳戶、Windows管理工具（WMIC）和SSH，以及TACACS+/RADIUS認證。
4. Mora_001在加密文件進行雙重勒索前，使用自定義工具竊取數據，優先針對文件和數據庫服務器以及域控制器。
5. 加密過程完成後，勒索信會被放置在受害者系統上。然後部署一個名為「WipeBlack」的自定義擦除工具，移除所有勒索軟體可執行文件的痕跡，以阻礙取證分析。

與LockBit的聯繫

Forescout發現了大量證據，表明SuperBlack勒索軟體操作與LockBit勒索軟體之間存在強烈聯繫，儘管SuperBlack似乎獨立行動：

• SuperBlack加密器是基於LockBit 3.0洩露的構建器，具有相同的有效負載結構和加密方法，但移除了所有原始品牌標識。
• SuperBlack的勒索信包含一個與LockBit操作相關的TOX聊天ID，表明Mora_001可能是前LockBit合作夥伴或其核心團隊的前成員，負責管理勒索款項和談判。
• 與先前LockBit操作相關的IP地址有大量重疊。此外，WipeBlack也被BrainCipher勒索軟體、EstateRansomware和SenSayQ勒索軟體使用，這些都與LockBit有關聯。

防護建議

Forescout研究人員緊急警告組織應採取措施防禦這一威脅。為了減輕這些威脅，建議Fortinet用戶：

• 及時修補易受攻擊的系統
• 限制管理訪問權限
• 審核管理員帳戶
• 檢查自動化設置
• 審查VPN用戶
• 啟用全面日誌記錄

安全專家強調，組織必須採用深度防禦方法，正確分割網路並實施分層安全控制，以限制攻擊者實現目標的能力。