Łatajcie Fortinet! Ataki prowadzą do szyfrowania infrastruktury

Mora_001, jak twierdzą specjaliści, ma powiązania, choć jest osobnym bytem w świecie gangów ransomware. Wnioskują to na podstawie wzorców eksploatacji, metod użycia programu oraz posługiwania się tym samym co LockBit identyfikatorem dla usługi komunikacji peer-to-peer Tox.

„Zaobserwowane wzorce po eksploatacji pozwoliły nam zdefiniować unikalny podpis operacyjny, który odróżnia grupę Mora_001 od innych operatorów oprogramowania ransomware, w tym podmiotów stowarzyszonych z LockBit. Te spójne ramy operacyjne sugerują odrębnego aktora zagrożeń ze zorganizowanym planem działania” – tłumaczą fachowcy Forescout.

Zaobserwowano, że aktor zagrożenia wykorzystuje luki CVE-2024-55591 i CVE-2025-24472 – dwie podatności w FortiOS i FortiProxy, które umożliwiają atakującym podniesienie uprawnień do poziomu superadministratora na podatnym urządzeniu Fortinet.

Fortinet ogłosiło poprawki dla luki CVE-2024-55591 w styczniu, ostrzegając przed jej wykorzystaniem w środowisku naturalnym i definiując podatność jako zero-day. 11 lutego firma zaktualizowała swoje ostrzeżenie, dodając lukę CVE-2025-24472, która obejmuje dodatkowy wektor ataku.

W ciągu czterech dni od opublikowania 27 stycznia exploita proof-of-concept (PoC) ukierunkowanego na podatne urządzenia FortiOS, firma Forescout zaobserwowała, że Mora_001 wykorzystuje podatność w atakach w celu utworzenia co najmniej jednego konta użytkownika administratora systemu lokalnego.

„W niektórych przypadkach, zamiast polegać na jednym koncie administracyjnym do wszystkich działań, sprawca zagrożenia zastosował metodę łańcuchową, w której każde nowo utworzone konto administracyjne było używane do generowania dodatkowych kont” – wyjaśnia Forescout.

Po utworzeniu lokalnego konta administratora atakujący pobrali plik konfiguracji zapory, zawierający krytyczne informacje, zmodyfikowali ustawienia systemu i utworzyli skryptowe zadanie automatyzacji, aby odtworzyć użytkownika z uprawnieniami superadministratora.

Stwierdzono również, że sprawca zagrożenia tworzył lokalne konta użytkowników VPN, próbował zalogować się do innych zapór i używał wbudowanych pulpitów FortiGate do rozpoznania, prawdopodobnie szukając ścieżek ruchu bocznego.

W porównaniu do LockBit 3.0 SuperBlack upuszcza zmodyfikowaną notatkę o okupie i używa innego pliku wykonywalnego eksfiltracji danych, ale upuszcza komponent wymazujący, podobnie jak wcześniej robiły to gangi powiązane z LockBit i BrainCipher. Nazwany WipeBlack komponent usuwa w infrastrukturze dowody działania pliku wykonywalnego ransomware.

Warto łatać Fortinet, zwłaszcza że w marcu firma załatała kilka innych groźnych podatności! We wtorek 11 marca poinformowała klientów o ponad tuzinie znalezionych i załatanych  luk w zabezpieczeniach swoich produktów.

Opublikowano 17 nowych ostrzeżeń opisujących 18 luk w zabezpieczeniach dotyczących FortiOS, FortiProxy, FortiPAM, FortiSRA, FortiAnalyzer, FortiManager, FortiAnalyzer-BigData, FortiSandbox, FortiNDR, FortiWeb, FortiSIEM i FortiADC.

Luką o wysokim stopniu zagrożenia jest między innymi CVE-2023-48790, podatność XSS w FortiNDR, która może zostać wykorzystana przez nieuwierzytelnionych hakerów do wykonania dowolnego kodu lub polecenia.

W FortiOS, FortiProxy, FortiPAM, FortiSRA i FortiWeb firma załatała lukę CVE-2024-45324, która umożliwia uprzywilejowanemu atakującemu wykonywanie kodu lub poleceń za pośrednictwem specjalnie spreparowanych żądań. Informacje techniczne opisujące tę lukę wydają się publicznie dostępne.

Innym problemem o wysokim stopniu ryzyka jest luka CVE-2023-40723, która wpływa na FortiSIEM i umożliwia niezweryfikowanemu atakującemu zdalne odczytanie hasła do bazy danych za pomocą specjalnie spreparowanych żądań API. W FortiSandbox Fortinet naprawiło luki CVE-2024-45328 (eskalacja uprawnień), CVE-2024-52961 (wstrzykiwanie poleceń) i CVE-2024-54027 (odczyt poufnych danych) – wszystkie oznaczone jako „wysoki stopień ryzyka”.