A pár napja bejelentett Fortinet sérülékenységet kihasználó zsarolóvírus terjed
A Forescout Vedere Labs kutatói 2025 januárja és márciusa között azonosították a Mora_001 nevű hackercsoportot, amely kritikus Fortinet sebezhetőségeket kihasználva indított célzott támadásokat. A támadások célja a SuperBlack nevű zsarolóvírus telepítése volt, amely szerkezetileg hasonlít a LockBit 3.0-ra, de egyedi módosításokat tartalmaz. A támadók a CVE-2024-55591 és CVE-2025-24472 sérülékenységeket használták ki, amelyek a FortiOS 7.0.16 előtti verzióit érintik, és lehetőséget adnak a super_admin jogosultság megszerzésére.
A Mora_001 csoport különböző módszerekkel biztosította a tartós jelenlétét a megtámadott rendszerekben. Többek között rejtett adminisztrátori fiókokat hoztak létre, és automatizált feladatokat állítottak be, amelyek újra létrehozták ezeket a fiókokat, ha törölték őket. A támadók a FortiGate irányítópultjain keresztül térképezték fel a hálózatokat, hogy további támadási lehetőségeket találjanak. A hálózaton belüli mozgásukhoz különböző technikákat alkalmaztak, például ellopott VPN-hitelesítő adatok használatát, a High Availability (HA) szinkronizáció kihasználását, valamint távoli rendszerfelderítési és végrehajtási eszközöket.
A SuperBlack zsarolóvírus nemcsak fájlok titkosítására, hanem adatlopásra is fókuszált, amelyet egyedi adatgyűjtő komponensek segítettek. A támadók egy olyan brute-force eszközt is használtak, amely VPN-szolgáltatásokat és edge-eszközöket célzott. A kutatók szerint az Egyesült Államok, India és Brazília a legveszélyeztetettebb országok, mivel itt található a legtöbb sebezhető FortiGate eszköz.
A támadások elleni védekezés érdekében a szervezeteknek azonnal frissíteniük kell a FortiOS rendszereiket, korlátozniuk kell az adminisztrációs felületek külső elérését, és rendszeresen ellenőrizniük kell a VPN- és adminisztrátori fiókokat. A Mora_001 támadásai rávilágítanak arra, hogy a hackerek rendkívül gyorsan kihasználják az újonnan felfedezett sérülékenységeket. A rendszeres biztonsági frissítések és a folyamatos hálózatfigyelés kulcsfontosságúak a hasonló támadások megelőzésében.
(forrás)
