Forescout, firma zajmująca się cyberbezpieczeństwem, ostrzega, że „rosyjski aktor zagrożeń” wykorzystuje dwie luki w zaporze sieciowej Fortinet w atakach prowadzących do wdrażania ransomware. Chodzi o grupę hakerską określaną jako Mora_001, która najwyraźniej przyjęła oprogramowanie LockBit builder i stworzyła własną odmianę ransomware, nazwaną przez Forescout „SuperBlack”.
Mora_001, jak twierdzą specjaliści, ma powiązania, choć jest osobnym bytem w świecie gangów ransomware. Wnioskują to na podstawie wzorców eksploatacji, metod użycia programu oraz posługiwania się tym samym co LockBit identyfikatorem dla usługi komunikacji peer-to-peer Tox.
„Zaobserwowane wzorce po eksploatacji pozwoliły nam zdefiniować unikalny podpis operacyjny, który odróżnia grupę Mora_001 od innych operatorów oprogramowania ransomware, w tym podmiotów stowarzyszonych z LockBit. Te spójne ramy operacyjne sugerują odrębnego aktora zagrożeń ze zorganizowanym planem działania” – tłumaczą fachowcy Forescout.
Zaobserwowano, że aktor zagrożenia wykorzystuje luki CVE-2024-55591 i CVE-2025-24472 – dwie podatności w FortiOS i FortiProxy, które umożliwiają atakującym podniesienie uprawnień do poziomu superadministratora na podatnym urządzeniu Fortinet.
Fortinet ogłosiło poprawki dla luki CVE-2024-55591 w styczniu, ostrzegając przed jej wykorzystaniem w środowisku naturalnym i definiując podatność jako zero-day. 11 lutego firma zaktualizowała swoje ostrzeżenie, dodając lukę CVE-2025-24472, która obejmuje dodatkowy wektor ataku.
W ciągu czterech dni od opublikowania 27 stycznia exploita proof-of-concept (PoC) ukierunkowanego na podatne urządzenia FortiOS, firma Forescout zaobserwowała, że Mora_001 wykorzystuje podatność w atakach w celu utworzenia co najmniej jednego konta użytkownika administratora systemu lokalnego.
„W niektórych przypadkach, zamiast polegać na jednym koncie administracyjnym do wszystkich działań, sprawca zagrożenia zastosował metodę łańcuchową, w której każde nowo utworzone konto administracyjne było używane do generowania dodatkowych kont” – wyjaśnia Forescout.
Po utworzeniu lokalnego konta administratora atakujący pobrali plik konfiguracji zapory, zawierający krytyczne informacje, zmodyfikowali ustawienia systemu i utworzyli skryptowe zadanie automatyzacji, aby odtworzyć użytkownika z uprawnieniami superadministratora.
Stwierdzono również, że sprawca zagrożenia tworzył lokalne konta użytkowników VPN, próbował zalogować się do innych zapór i używał wbudowanych pulpitów FortiGate do rozpoznania, prawdopodobnie szukając ścieżek ruchu bocznego.
W porównaniu do LockBit 3.0 SuperBlack upuszcza zmodyfikowaną notatkę o okupie i używa innego pliku wykonywalnego eksfiltracji danych, ale upuszcza komponent wymazujący, podobnie jak wcześniej robiły to gangi powiązane z LockBit i BrainCipher. Nazwany WipeBlack komponent usuwa w infrastrukturze dowody działania pliku wykonywalnego ransomware.
Warto łatać Fortinet, zwłaszcza że w marcu firma załatała kilka innych groźnych podatności! We wtorek 11 marca poinformowała klientów o ponad tuzinie znalezionych i załatanych luk w zabezpieczeniach swoich produktów.
Opublikowano 17 nowych ostrzeżeń opisujących 18 luk w zabezpieczeniach dotyczących FortiOS, FortiProxy, FortiPAM, FortiSRA, FortiAnalyzer, FortiManager, FortiAnalyzer-BigData, FortiSandbox, FortiNDR, FortiWeb, FortiSIEM i FortiADC.
Luką o wysokim stopniu zagrożenia jest między innymi CVE-2023-48790, podatność XSS w FortiNDR, która może zostać wykorzystana przez nieuwierzytelnionych hakerów do wykonania dowolnego kodu lub polecenia.
W FortiOS, FortiProxy, FortiPAM, FortiSRA i FortiWeb firma załatała lukę CVE-2024-45324, która umożliwia uprzywilejowanemu atakującemu wykonywanie kodu lub poleceń za pośrednictwem specjalnie spreparowanych żądań. Informacje techniczne opisujące tę lukę wydają się publicznie dostępne.
Innym problemem o wysokim stopniu ryzyka jest luka CVE-2023-40723, która wpływa na FortiSIEM i umożliwia niezweryfikowanemu atakującemu zdalne odczytanie hasła do bazy danych za pomocą specjalnie spreparowanych żądań API. W FortiSandbox Fortinet naprawiło luki CVE-2024-45328 (eskalacja uprawnień), CVE-2024-52961 (wstrzykiwanie poleceń) i CVE-2024-54027 (odczyt poufnych danych) – wszystkie oznaczone jako „wysoki stopień ryzyka”.