Новичок с навыками профессионала вступает в игру на киберарене.
Специалисты Forescout выявили новую группировку вымогателей под названием Mora_001, которая эксплуатирует две критические уязвимости в продуктах Fortinet для несанкционированного доступа к межсетевым экранам и последующего развёртывания кастомного шифровальщика SuperBlack.
Две ошибки связаны с обходом аутентификации и обозначены как CVE-2024-55591 (оценка CVSS: 9.8) и CVE-2025-24472 (оценка CVSS: 8.1). Fortinet раскрыл их в январе и феврале соответственно. CVE-2024-55591 была обозначена как Zero-Day уже в ноябре 2024 года, но с CVE-2025-24472 возникла путаница: хотя изначально Fortinet отрицал эксплуатацию ошибки, позже компания подтвердила, что уязвимость всё же активно эксплуатировалась.
Forescout обнаружила атаки SuperBlack в конце января 2025 года и установила, что хакеры использовали CVE-2025-24472 со 2 февраля 2025 года. Хотя сама Forescout не направляла отчёты в Fortinet, результаты расследования были переданы в PSIRT компании через одну из пострадавших организаций. Вскоре Fortinet обновил своё уведомление, подтвердив факт эксплуатации.
Атаки с использованием SuperBlack следуют чётко структурированной схеме. Сначала злоумышленники получают привилегии «super_admin», используя WebSocket-атаки через jsconsole или отправляя HTTPS-запросы на интерфейсы межсетевых экранов. Затем киберпреступники создают новые учётные записи администраторов с именами forticloud-tech, fortigate-firewall и adnimistrator, а также изменяют автоматизированные задачи, чтобы эти учётные записи восстанавливались в случае удаления.
Цепочка атаки Mora_001 (Forescout)
После закрепления в системе злоумышленники сканируют сеть и используют украденные учётные данные VPN, WMI, SSH и TACACS+/RADIUS для перемещения по инфраструктуре. Перед шифрованием данных взломщики похищают их с целью последующего двойного вымогательства. Основными целями атак становятся файловые серверы, базы данных и контроллеры домена.
После завершения шифрования на устройства жертв загружаются записки с требованием выкупа. Затем применяется кастомный инструмент WipeBlack, который удаляет следы шифровальщика, затрудняя анализ инцидента.
Forescout обнаружил несколько признаков, указывающих на связь SuperBlack с операцией LockBit:
Forescout опубликовала подробный список индикаторов компрометации, связанных с атаками SuperBlack.