SuperBlack 攻击者利用两个 Fortinet 漏洞部署勒索软件

在 2025 年 1 月下旬至 3 月初期间，Forescout 公司的 Vedere Labs 网络安全研究人员发现了一系列利用 Fortinet 关键漏洞实施的复杂入侵事件。

这些攻击由一个新确认的威胁行为者 “Mora_001” 发起，最终部署了一种名为 “SuperBlack” 的定制勒索软件。

Mora_001 展现出一套有条不紊的网络入侵方式，起始于对两个 Fortinet 关键漏洞 CVE – 2024 – 55591 和 CVE – 2025 – 24472 的利用。

这些漏洞影响 7.0.16 版本之前的 FortiOS 系统，使得未经身份验证的攻击者能够在管理界面暴露的易受攻击设备上获取超级管理员权限。

研究人员在野外观察到两种不同的利用方式，在 2025 年 1 月 27 日概念验证利用公开后的短短 96 小时内就已出现。

第一种方式利用 jsconsole 接口，通过伪造 IP 地址（通常是 127.0.0.1、8.8.8.8 或其他可识别地址）来利用 WebSocket 漏洞。

第二种方式则针对相同的底层漏洞发送直接的 HTTPS 请求。

持久化技术

在获得初始访问权限后，Mora_001 通过多种复杂机制建立持久化访问。

攻击者持续创建本地系统管理员账户，账户名设计得与合法服务相似，包括 “forticloud – tech”“fortigate – firewall” 以及故意拼错的 “adnimistrator”（应为 “administrator”）。

一种尤为隐蔽的技术是创建自动化任务，以确保即便在修复尝试后仍能保持访问。

例如，攻击者配置每日脚本自动化任务，若管理员账户被删除，任务会自动重新创建。

其中一个脚本包含使用超级管理员权限和预设密码重新创建 “forticloud – sync” 用户的命令。

在具有高可用性（HA）配置的环境中，Mora_001 强制同步，将受感染配置传播到同一集群内的其他防火墙，有效地将其后门账户扩散到多个设备。

在建立持久化访问后，Mora_001 利用 FortiGate 仪表盘进行广泛侦察，收集环境情报。

攻击者访问状态、安全、网络以及用户与设备仪表盘，以确定横向移动的潜在路径。

在具备 VPN 功能的环境中，威胁行为者创建额外的 VPN 用户账户，账户名与合法账户相似但略有修改，比如在末尾添加一个数字（例如 “xxx1”）。

这些账户随后被添加到 VPN 用户组，以便在未来访问网络的同时逃避常规的管理员审查。

网络横向移动方法

对于横向移动，Mora_001 采用了多种技术：

1.使用窃取的 VPN 凭证访问内部网络。

2.利用高可用性（HA）配置传播来攻陷其他防火墙。

3.当配置为与 Active Directory 同步时，通过 TACACS + 或 RADIUS 滥用身份验证基础设施。

4.利用 Windows 管理规范（WMIC）进行远程系统发现和执行。

5.使用 SSH 访问其他服务器和网络设备。

攻击者优先选择高价值目标，特别是文件服务器、身份验证服务器、域控制器和数据库服务器。

Mora_001 并非不加选择地加密整个网络，而是有针对性地选择包含敏感数据的系统，在启动加密之前先聚焦于数据窃取。

SuperBlack 勒索软件

Mora_001 部署的勒索软件被研究人员命名为 “SuperBlack”，它与 LockBit 3.0（也称为 LockBit Black）极为相似，但有特定修改。

主要区别在于勒索赎金通知结构以及包含一个定制的数据窃取可执行文件。

尽管有这些表面变化，该勒索软件与 LockBit 生态系统仍保持紧密联系。赎金通知中包含一个 Tox 聊天 ID（DED25DCB2AAAF65A05BEA584A0D1BB1D55DD2D8BB4185FA39B5175C60C8DDD0C0A7F8A8EC815），该 ID 此前与 LockBit 3.0 的活动相关联。

通知保留了 LockBit 的 HTML 模板结构，但去除了通常能识别其为 LockBit 勒索软件的明确品牌元素，比如页眉。

研究人员在 VirusTotal 上识别出其他带有类似赎金通知的样本，将 SuperBlack 与此前与 BlackMatter、LockBit 和 BlackMatte 勒索软件相关的导入哈希联系起来。

这一证据表明，Mora_001 要么是当前或曾经的 LockBit 关联方，利用其泄露的构建器，要么是一个独立的威胁行为者，重新利用 LockBit 的基础设施和工具。

基础设施与模式

主要的 SuperBlack 可执行文件负责加密过程，并下载其他组件，包括一个名为 “WipeBlack” 的擦除模块。

该模块曾在之前与 LockBit 和 BrainCipher 相关的勒索软件事件中被观察到，而 BrainCipher 又与 SenSayQ、EstateRansomware 和 RebornRansomware 存在关联。

擦除模块采用复杂的反取证技术，包括动态解析 Windows API 以阻碍静态分析，以及使用命名管道进行命令执行。

加密完成后，它使用 1MB 缓冲区和 0x3105DFDE 的解密密钥用随机数据覆盖勒索软件可执行文件，有效地抹去初始感染的证据。

Mora_001 的活动与特定基础设施相关联，包括 IP 地址 185.147.124.34，该地址被观察到对多个边缘设备进行暴力破解尝试。

此 IP 地址托管一个名为 “VPN Brute v1.0.2” 的工具，这是一个俄语工具，旨在对各种 VPN 服务和边缘设备进行暴力破解凭证。VPN Brute 工具的目标包括多个平台：

1.远程桌面 Web 访问（RDWeb）

2.PulseSecure（在工具中称为 “Dana”）

3.Outlook Web Access（OWA）

4.Palo Alto Networks GlobalProtect

5.Fortinet

6.Cisco

7.F5 Networks BIG – IP

8.Citrix

研究人员识别出另外 15 个运行 VPN Brute 不同版本的 IP 地址，较新版本提供增强功能，如在发现有效凭证后继续进行暴力破解、自定义用户名和密码组合以及蜜罐检测功能。

Mora_001 的攻击活动凸显了利用边界安全设备获取初始访问权限的日益增长的趋势，攻击者迅速将公开的漏洞武器化。

截至报告撰写时，美国（7677 个）、印度（5536 个）和巴西（3201 个）拥有数量最多的暴露 FortiGate 防火墙，使其特别容易受到这些攻击。

缓解措施

为防范 Mora_001 及类似威胁，组织应采取以下措施：

1.立即通过应用针对 CVE – 2024 – 55591 和 CVE – 2025 – 24472 的 FortiOS 更新来修补易受攻击的系统。

2.尽可能禁用外部管理接口，以限制管理访问。

3.定期审核管理员账户，识别并删除未经授权的用户。

4.检查自动化设置中是否存在可疑任务，特别是那些计划每天或非工作时间运行的任务。

5.审查 VPN 用户和组，查看合法用户名的细微变化或近期创建的账户。

6.启用全面日志记录，包括 CLI 审计日志、HTTP / S 流量日志、网络策略服务器审计和身份验证系统审计。

Mora_001 的攻击活动代表了勒索软件领域的一次复杂演变，将机会主义利用与有针对性的数据盗窃和选择性加密相结合。

虽然与 LockBit 等已有的勒索软件生态系统保持操作上的联系，但 Mora_001 开发出了独特的策略和工具，使其成为一个独特的威胁行为者。

部署了 Fortinet 设备的组织应优先修补易受攻击的设备，并实施建议的缓解措施，以防范这一新兴威胁。

对新披露漏洞的快速利用凸显了及时进行安全更新和全面网络监测的至关重要性，以便在复杂攻击达成目标之前进行检测和响应。