研究人員稱(chēng)，一個(gè)新的勒索軟件團(tuán)伙正在迅速利用Fortinet防火墻中的兩個(gè)身份驗(yàn)證繞過(guò)漏洞。

Forescout的研究人員在最近的一篇報(bào)告中概述了該團(tuán)伙的攻擊活動(dòng)，稱(chēng)該團(tuán)伙（命名為Mora_001）利用未修補(bǔ)的防火墻來(lái)部署一種新的勒索軟件，名為SuperBlack，與LockBit 3.0（也稱(chēng)為L(zhǎng)ockBit Black）非常相似。

然而，報(bào)告描述的攻擊方式表明，盡管這些漏洞可能是零日漏洞，且威脅行為者很快獲得了概念驗(yàn)證攻擊的代碼，但防御者仍可以通過(guò)基本網(wǎng)絡(luò)安全措施發(fā)現(xiàn)并緩解攻擊。

安全團(tuán)隊(duì)的教訓(xùn)

案例 1：在Forescout調(diào)查的事件中，成功被攻擊的防火墻將其管理接口暴露在互聯(lián)網(wǎng)上。

教訓(xùn)：盡可能禁用防火墻的外部管理訪問(wèn)。

截至3月12日，F(xiàn)orescout表示，美國(guó)有7,677臺(tái)FortiGate設(shè)備暴露了管理接口，印度有5,536臺(tái)，巴西有3,201臺(tái)。

案例 2：在一次事件中，威脅行為者創(chuàng)建了一個(gè)名為“adnimistrator”的新管理員賬戶(hù)。

教訓(xùn)：監(jiān)控所有管理員賬戶(hù)的變化。了解所有應(yīng)用程序和設(shè)備的管理賬戶(hù)數(shù)量。數(shù)量變化是可疑的，拼寫(xiě)錯(cuò)誤的賬戶(hù)名稱(chēng)更是高度可疑。

案例 3：當(dāng)防火墻具有VPN功能時(shí)，威脅行為者創(chuàng)建了與合法賬戶(hù)名稱(chēng)相似但末尾添加數(shù)字的本地VPN用戶(hù)賬戶(hù)，并將這些新用戶(hù)添加到VPN用戶(hù)組中以實(shí)現(xiàn)未來(lái)的登錄。Forescout總結(jié)道，這種策略可能是為了在日常管理審查中規(guī)避檢測(cè)，并在即使初始入口點(diǎn)被發(fā)現(xiàn)后仍保持持久訪問(wèn)。隨后，威脅行為者手動(dòng)為新創(chuàng)建的用戶(hù)分配了密碼。

教訓(xùn)：參見(jiàn)案例2。

給CISO的主要教訓(xùn)：即使威脅行為者擁有零日漏洞利用，也不意味著你的IT基礎(chǔ)設(shè)施毫無(wú)防御能力。相反，深度防御會(huì)大大降低被攻擊的風(fēng)險(xiǎn)。

“好消息是，F(xiàn)ortinet之前發(fā)布的補(bǔ)丁應(yīng)該覆蓋了這兩個(gè)漏洞，”Arctic Wolf的首席威脅情報(bào)研究員Stefan Hostetler在一封電子郵件中表示。“最新報(bào)告顯示，威脅行為者正在針對(duì)那些未能及時(shí)應(yīng)用補(bǔ)丁或加固防火墻配置的組織。”

據(jù)Forescout稱(chēng)，首次發(fā)現(xiàn)漏洞（CVE-2024-55591和CVE-2025-24472）被利用是在去年11月底/12月初。Fortinet于1月14日發(fā)布了一份安全公告。1月27日，威脅行為者可以利用的漏洞概念驗(yàn)證代碼被發(fā)布。

Forescout從1月31日開(kāi)始發(fā)現(xiàn)其客戶(hù)中出現(xiàn)了入侵事件。Fortinet于2月11日在其初始公告中添加了CVE-2025-24472。

入侵跡象

“該行為者表現(xiàn)出獨(dú)特的操作特征，結(jié)合了機(jī)會(huì)性攻擊與LockBit生態(tài)系統(tǒng)的元素，”Forescout在其分析中表示。

“Mora_001與更廣泛的LockBit勒索軟件操作的關(guān)系，凸顯了現(xiàn)代勒索軟件領(lǐng)域的復(fù)雜性——專(zhuān)業(yè)化團(tuán)隊(duì)合作以利用互補(bǔ)能力。”

CISO應(yīng)注意Forescout調(diào)查事件中一致的攻擊后模式：

• 在多個(gè)受害者網(wǎng)絡(luò)中創(chuàng)建相同的用戶(hù)名；
• 用于初始訪問(wèn)、攻擊后操作和命令控制（C2）操作的重疊IP地址；
• 受攻擊環(huán)境中的類(lèi)似配置備份行為；
• 在條件有利時(shí)，勒索軟件在48小時(shí)內(nèi)迅速部署，而在安全控制較嚴(yán)格的環(huán)境中進(jìn)行更長(zhǎng)時(shí)間的偵察。

CVE-2024-55591和CVE-2025-24472允許未經(jīng)身份驗(yàn)證的攻擊者在運(yùn)行FortiOS 7.0.16之前版本且管理接口暴露在互聯(lián)網(wǎng)上的Fortigate設(shè)備上獲得super_admin權(quán)限。

在漏洞和概念驗(yàn)證利用代碼傳播后，F(xiàn)orescout觀察到了三種類(lèi)型的攻擊：使用PoC、直接利用暴露防火墻接口中的WebSocket漏洞，以及通過(guò)直接HTTPS請(qǐng)求。

攻擊策略

在成功利用漏洞并使用隨機(jī)生成的用戶(hù)名驗(yàn)證訪問(wèn)權(quán)限后，威脅行為者在幾乎所有事件中都創(chuàng)建了本地系統(tǒng)管理員賬戶(hù)。新創(chuàng)建的賬戶(hù)包括：forticloud-tech、fortigate-firewall和adnimistrator（拼寫(xiě)錯(cuò)誤的管理員）。