HackerNews 编译,转载请注明出处:
一个名为”Mora_001″的新勒索软件组织正利用两个Fortinet漏洞,通过未授权访问防火墙设备部署名为SuperBlack的自定义勒索病毒。
这两个漏洞均为身份验证绕过漏洞,编号为CVE-2024-55591和CVE-2025-24472。Fortinet分别于2024年1月和2月披露了相关漏洞信息。
Fortinet在2024年1月14日首次披露CVE-2024-55591时,确认该漏洞已被作为零日漏洞利用。北极狼公司指出,自2024年11月起,攻击者就利用该漏洞入侵FortiGate防火墙。
值得注意的是,Fortinet在2025年2月11日将其1月公告中补充了CVE-2025-24472漏洞信息,导致外界误认为这是新发现的被利用漏洞。但Fortinet向BleepingComputer澄清称,该漏洞实际已于2024年1月修复且未被利用。
“我们未发现CVE-2025-24472被利用的证据。”Fortinet当时表示。
然而,Forescout研究人员的报告显示,他们在2025年1月下旬发现SuperBlack攻击活动,攻击者最早在2025年2月2日就利用了CVE-2025-24472漏洞。
Forescout向BleepingComputer说明:”尽管我们未直接向Fortinet报告24472漏洞的利用情况,但一家受影响的合作机构将我们的调查结果同步给了Fortinet的PSIRT团队。”
“随后,Fortinet在2月11日更新公告,承认CVE-2025-24472正被积极利用。”BleepingComputer已联系Fortinet核实该细节,目前尚未获得回复。
SuperBlack攻击流程分析
Forescout指出,Mora_001采用高度结构化的攻击链,不同受害者间的攻击模式高度一致:
首先,攻击者通过jsconsole接口发起基于WebSocket的攻击,或直接向暴露的防火墙接口发送HTTPS请求,利用两个Fortinet漏洞获取’super_admin’权限。
接着,创建新管理员账户(包括forticloud-tech、fortigate-firewall、adnimistrator),并修改自动化任务配置以确保账户被删除后能自动重建。
随后,攻击者通过窃取的VPN凭证、新建VPN账户、WMIC/SSH工具及TACACS+/RADIUS认证进行网络测绘和横向移动。
在实施双重勒索前,Mora_001使用定制工具窃取数据,优先针对文件服务器、数据库服务器和域控制器进行加密。完成加密后,系统会留下勒索信。最终部署名为’WipeBlack’的定制擦除工具,清除勒索软件执行痕迹以阻碍取证分析。
Forescout发现多项证据表明SuperBlack与LockBit勒索组织存在密切联系,尽管前者表现出独立运作特征:
- SuperBlack加密器(VirusTotal记录)基于LockBit 3.0泄露的构建器开发,具有相同的载荷结构和加密算法,但移除了原始品牌标识。SuperBlack勒索信包含与LockBit运营相关的TOX聊天ID,暗示Mora_001可能是LockBit前附属机构或核心团队中负责赎金谈判的成员。攻击使用的IP地址与历史LockBit行动存在大量重叠。此外,WipeBlack工具亦被BrainCipher、EstateRansomware、SenSayQ等与LockBit关联的勒索组织使用。
Forescout在报告末尾提供了完整的SuperBlack攻击活动入侵指标(IoC)列表。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
