
Între sfârșitul lunii ianuarie și începutul lunii martie 2025, cercetătorii în securitate cibernetică de la Forescout au descoperit intruziuni sofisticate ce exploatează vulnerabilități critice ale Fortinet. Atacurile, atribuite unui actor amenințător numit “Mora_001”, au culminat cu instalarea unui ransomware personalizat intitulat “SuperBlack”.
TLDR
- Vulnerabilități Fortinet critice exploatate de “Mora_001”.
- Dezvoltarea unui ransomware numit “SuperBlack”.
- Tehnici avansate de persistență și mișcare laterală.
- Măsuri de protecție incluzând actualizări de sistem.
Atacul Mora_001 și vulnerabilitățile Fortinet
Cercetătorii au descoperit că Mora_001 a exploatat două vulnerabilități critice, afectând versiunile FortiOS anterioare 7.0.16, care permit atacatorilor neautentificați să obțină privilegii de super_admin. Exploatarea acestor vulnerabilități a dus la controlul neautorizat al rețelelor.
Tehnici de persistență și răspândire
Odată ce accesul inițial a fost obținut, Mora_001 a folosit mecanisme sofisticate pentru a asigura persistența în sisteme. Creau conturi de administrator local care păreau legitime și configurau sarcini automate pentru a recrea conturi administrativă cu privilegii înalte.
Metode de traversare a rețelei
Pentru a se extinde în rețea, Mora_001 folosea tehnici precum credențiale VPN furate, propagarea configurațiilor și exploatarea infrastructurii de autentificare. A vizat în special servere de fișiere și servere de autentificare pentru a extrage date sensibile.
SuperBlack: un ransomware de nouă generație
Ransomware-ul “SuperBlack” își are originea în ecosistemul LockBit și a fost folosit de Mora_001 pentru a fura date și a solicita recompense. Măsurile anti-forensics utilizate au complicat detectarea și remedierea atacurilor.
Măsuri de protecție
Organizațiile ar trebui să actualizeze imediat sistemele vulnerabile și să restricționeze accesul la interfețele de administrare externă. Auditarea regulată a conturilor și a sarcinilor automatizate poate preveni accesul neautorizat și menține securitatea infrastructurii.
Atacurile sofisticate precum cele ale Mora_001 arată importanța unei actualizări rapide a securității și a unei monitorizări active a rețelei pentru a preveni exploatarea vulnerabilităților și a reduce riscurile asociate cu ransomware și alte amenințări cibernetice.
Sursa articolului:
https://cybersecuritynews.com/superblack-actors-exploiting-two-fortinet-vulnerabilities/