研究人員稱，一個新的勒索軟件團伙正在迅速利用Fortinet防火墻中的兩個身份驗證繞過漏洞。

Forescout的研究人員在最近的一篇報告中概述了該團伙的攻擊活動，稱該團伙（命名為Mora_001）利用未修補的防火墻來部署一種新的勒索軟件，名為SuperBlack，與LockBit 3.0（也稱為LockBit Black）非常相似。

然而，報告描述的攻擊方式表明，盡管這些漏洞可能是零日漏洞，且威脅行為者很快獲得了概念驗證攻擊的代碼，但防御者仍可以通過基本網(wǎng)絡安全措施發(fā)現(xiàn)并緩解攻擊。

安全團隊的教訓

案例 1：在Forescout調查的事件中，成功被攻擊的防火墻將其管理接口暴露在互聯(lián)網(wǎng)上。

教訓：盡可能禁用防火墻的外部管理訪問。

截至3月12日，F(xiàn)orescout表示，美國有7,677臺FortiGate設備暴露了管理接口，印度有5,536臺，巴西有3,201臺。

案例 2：在一次事件中，威脅行為者創(chuàng)建了一個名為“adnimistrator”的新管理員賬戶。

教訓：監(jiān)控所有管理員賬戶的變化。了解所有應用程序和設備的管理賬戶數(shù)量。數(shù)量變化是可疑的，拼寫錯誤的賬戶名稱更是高度可疑。

案例 3：當防火墻具有VPN功能時，威脅行為者創(chuàng)建了與合法賬戶名稱相似但末尾添加數(shù)字的本地VPN用戶賬戶，并將這些新用戶添加到VPN用戶組中以實現(xiàn)未來的登錄。Forescout總結道，這種策略可能是為了在日常管理審查中規(guī)避檢測，并在即使初始入口點被發(fā)現(xiàn)后仍保持持久訪問。隨后，威脅行為者手動為新創(chuàng)建的用戶分配了密碼。

教訓：參見案例2。

給CISO的主要教訓：即使威脅行為者擁有零日漏洞利用，也不意味著你的IT基礎設施毫無防御能力。相反，深度防御會大大降低被攻擊的風險。

“好消息是，F(xiàn)ortinet之前發(fā)布的補丁應該覆蓋了這兩個漏洞，”Arctic Wolf的首席威脅情報研究員Stefan Hostetler在一封電子郵件中表示?！白钚聢蟾骘@示，威脅行為者正在針對那些未能及時應用補丁或加固防火墻配置的組織?！?/p>

據(jù)Forescout稱，首次發(fā)現(xiàn)漏洞（CVE-2024-55591和CVE-2025-24472）被利用是在去年11月底/12月初。Fortinet于1月14日發(fā)布了一份安全公告。1月27日，威脅行為者可以利用的漏洞概念驗證代碼被發(fā)布。

Forescout從1月31日開始發(fā)現(xiàn)其客戶中出現(xiàn)了入侵事件。Fortinet于2月11日在其初始公告中添加了CVE-2025-24472。

入侵跡象

“該行為者表現(xiàn)出獨特的操作特征，結合了機會性攻擊與LockBit生態(tài)系統(tǒng)的元素，”Forescout在其分析中表示。

“Mora_001與更廣泛的LockBit勒索軟件操作的關系，凸顯了現(xiàn)代勒索軟件領域的復雜性——專業(yè)化團隊合作以利用互補能力。”

CISO應注意Forescout調查事件中一致的攻擊后模式：

• 在多個受害者網(wǎng)絡中創(chuàng)建相同的用戶名；
• 用于初始訪問、攻擊后操作和命令控制（C2）操作的重疊IP地址；
• 受攻擊環(huán)境中的類似配置備份行為；
• 在條件有利時，勒索軟件在48小時內迅速部署，而在安全控制較嚴格的環(huán)境中進行更長時間的偵察。

CVE-2024-55591和CVE-2025-24472允許未經(jīng)身份驗證的攻擊者在運行FortiOS 7.0.16之前版本且管理接口暴露在互聯(lián)網(wǎng)上的Fortigate設備上獲得super_admin權限。

在漏洞和概念驗證利用代碼傳播后，F(xiàn)orescout觀察到了三種類型的攻擊：使用PoC、直接利用暴露防火墻接口中的WebSocket漏洞，以及通過直接HTTPS請求。

攻擊策略

在成功利用漏洞并使用隨機生成的用戶名驗證訪問權限后，威脅行為者在幾乎所有事件中都創(chuàng)建了本地系統(tǒng)管理員賬戶。新創(chuàng)建的賬戶包括：forticloud-tech、fortigate-firewall和adnimistrator（拼寫錯誤的管理員）。