研究人員稱，一個新的勒索軟件團伙正在迅速利用Fortinet防火墻中的兩個身份驗證繞過漏洞。

Forescout的研究人員在最近的一篇報告中概述了該團伙的攻擊活動，稱該團伙（命名為Mora_001）利用未修補的防火墻來部署一種新的勒索軟件，名為SuperBlack，與LockBit 3.0（也稱為LockBit Black）非常相似。

然而，報告描述的攻擊方式表明，盡管這些漏洞可能是零日漏洞，且威脅行為者很快獲得了概念驗證攻擊的代碼，但防御者仍可以通過基本網絡安全措施發現并緩解攻擊。

安全團隊的教訓

案例 1：在Forescout調查的事件中，成功被攻擊的防火墻將其管理接口暴露在互聯網上。

教訓：盡可能禁用防火墻的外部管理訪問。

截至3月12日，Forescout表示，美國有7,677臺FortiGate設備暴露了管理接口，印度有5,536臺，巴西有3,201臺。

案例 2：在一次事件中，威脅行為者創建了一個名為“adnimistrator”的新管理員賬戶。

教訓：監控所有管理員賬戶的變化。了解所有應用程序和設備的管理賬戶數量。數量變化是可疑的，拼寫錯誤的賬戶名稱更是高度可疑。

案例 3：當防火墻具有VPN功能時，威脅行為者創建了與合法賬戶名稱相似但末尾添加數字的本地VPN用戶賬戶，并將這些新用戶添加到VPN用戶組中以實現未來的登錄。Forescout總結道，這種策略可能是為了在日常管理審查中規避檢測，并在即使初始入口點被發現后仍保持持久訪問。隨后，威脅行為者手動為新創建的用戶分配了密碼。

教訓：參見案例2。

給CISO的主要教訓：即使威脅行為者擁有零日漏洞利用，也不意味著你的IT基礎設施毫無防御能力。相反，深度防御會大大降低被攻擊的風險。

“好消息是，Fortinet之前發布的補丁應該覆蓋了這兩個漏洞，”Arctic Wolf的首席威脅情報研究員Stefan Hostetler在一封電子郵件中表示?！白钚聢蟾骘@示，威脅行為者正在針對那些未能及時應用補丁或加固防火墻配置的組織。”

據Forescout稱，首次發現漏洞（CVE-2024-55591和CVE-2025-24472）被利用是在去年11月底/12月初。Fortinet于1月14日發布了一份安全公告。1月27日，威脅行為者可以利用的漏洞概念驗證代碼被發布。

Forescout從1月31日開始發現其客戶中出現了入侵事件。Fortinet于2月11日在其初始公告中添加了CVE-2025-24472。

入侵跡象

“該行為者表現出獨特的操作特征，結合了機會性攻擊與LockBit生態系統的元素，”Forescout在其分析中表示。

“Mora_001與更廣泛的LockBit勒索軟件操作的關系，凸顯了現代勒索軟件領域的復雜性——專業化團隊合作以利用互補能力?！?/p>

CISO應注意Forescout調查事件中一致的攻擊后模式：

• 在多個受害者網絡中創建相同的用戶名；
• 用于初始訪問、攻擊后操作和命令控制（C2）操作的重疊IP地址；
• 受攻擊環境中的類似配置備份行為；
• 在條件有利時，勒索軟件在48小時內迅速部署，而在安全控制較嚴格的環境中進行更長時間的偵察。

CVE-2024-55591和CVE-2025-24472允許未經身份驗證的攻擊者在運行FortiOS 7.0.16之前版本且管理接口暴露在互聯網上的Fortigate設備上獲得super_admin權限。

在漏洞和概念驗證利用代碼傳播后，Forescout觀察到了三種類型的攻擊：使用PoC、直接利用暴露防火墻接口中的WebSocket漏洞，以及通過直接HTTPS請求。

攻擊策略

在成功利用漏洞并使用隨機生成的用戶名驗證訪問權限后，威脅行為者在幾乎所有事件中都創建了本地系統管理員賬戶。新創建的賬戶包括：forticloud-tech、fortigate-firewall和adnimistrator（拼寫錯誤的管理員）。