详细内容或原文请订阅后点击阅览
Superblack Ransomware操作员在最近的攻击中利用Fortinet防火墙缺陷
Superblack Ransomware背后的操作员在Fortinet防火墙中利用了两个漏洞,以进行最近的攻击。在1月和3月之间,ForeScout Research的研究人员 - Vedere Labs观察到了一个威胁参与者,利用了两个Fortinet脆弱性来部署Superblack Ransomware。专家将攻击归因于一个名为“ Mora_001”的威胁演员,该威胁是使用俄罗斯文物并展示[…]
来源:Security Affairs _恶意软件Superblack Ransomware操作员在最近的攻击中利用Fortinet防火墙缺陷
Superblack Ransomware背后的操作员在Fortinet防火墙中利用了两个漏洞,以进行最近的攻击。
在1月至3月之间,ForeScout Research的研究人员 - Vedere Labs观察到威胁参与者利用两个Fortinet脆弱性来部署Superblack Ransomware。专家将攻击归因于一个名为“ Mora_001”的威胁演员,该威胁是使用俄罗斯文物并表现出独特的操作签名。专家推测MORA_001可以链接到Lockbit生态系统,以反映勒索软件操作的日益复杂性。
LockbitMora_001使用泄漏的Lockbit构建器来创建Encryptor,并由ForeScout作为Superblack Ransomware跟踪,并删除了任何Lockbit的品牌。
但是,MORA_001被追踪为独立威胁参与者,它表现出一致的探索后策略,包括在48小时内跨受害者,重叠的IP和Rass Ransomware部署的相同用户名。有趣的是,赎金Note与Lockbit共享毒素ID,表明潜在的隶属关系。但是,其结构化的剧本和独特的操作模式将其区分为能够独立入侵的独立实体。
威胁参与者利用CVE-2024-55591和CVE-2025-24472在Fortios和Fortiproxy中获得了脆弱的Fortinet设备的超级访问。
“ CVE-2024-55591和CVE-2025-24472允许未经身份验证的攻击者在易受伤害的Fortios设备(<7.0.16)上获得具有裸露的管理界面的super_admin特权。”阅读ForeScout发布的报告。 “概念证明(POC)漏洞利用于1月27日公开发布,并在96小时内公开发布”
super_admin
报告
CVE-2024-55591
CVE-2025-24472
攻击者使用了两种不同的方法:
JSCOLE