Mora_001」と名付けられた新たなランサムウェアの運営者が、フォーティネットの2つの脆弱性を悪用してファイアウォール・アプライアンスに不正アクセスし、「SuperBlack」と名付けられた独自のランサムウェアを展開している。
2つの脆弱性はいずれも認証バイパスで、フォーティネットがそれぞれ1月と2月に公表したCVE-2024-55591とCVE-2025-24472です。
フォーティネットが1月14日にCVE-2024-55591を初めて公開した際、ゼロデイとして悪用されたことを確認し、Arctic Wolfは、2024年11月以降、FortiGateファイアウォールを突破する攻撃に使用されていると述べています。
紛らわしいことに、フォーティネットは2月11日、1月のアドバイザリにCVE-2025-2447を追加したため、多くの人はこのバグが新たに悪用された欠陥であると考えた。しかし、フォーティネットは 、このバグは2024年1月にも修正されており、悪用されたものではないと述べている。
「CVE-2025-24472が悪用されたことはありません」とフォーティネットは当時述べている。
しかし、Forescoutの研究者による新しいレポートによると、彼らは2025年1月下旬にSuperBlack攻撃を発見し、脅威の主体は2025年2月2日の時点でCVE-2025-24472を利用していたという。
「Forescout自身は24472の悪用をFortinetに直接報告しませんでしたが、私たちが協力した被害を受けた組織の1つがFortinetのPSIRTチームと調査結果を共有していたためです。
「その後まもなく、Fortinetは2月11日にアドバイザリを更新し、CVE-2025-24472が積極的に悪用されていることを認めました。
この点を明らかにするためにFortinetに問い合わせたが、まだ回答を待っているところである。
SuperBlack ランサムウェア攻撃
Forescoutによると、Mora_001ランサムウェアの運営者は、被害者間であまり変わらない高度に構造化された攻撃チェーンに従っているという。
まず攻撃者は、jsconsoleインターフェイスを介したWebSocketベースの攻撃や、公開されたファイアウォールインターフェイスに直接HTTPSリクエストを送信することで、フォーティネットの2つの欠陥を悪用して「super_admin」権限を獲得します。
次に、新しい管理者アカウント(forticloud-tech、fortigate-firewall、adnimistrator)を作成し、自動化タスクを変更して、削除されたアカウントを再作成します。
Source:Forescout
この後、攻撃者はネットワークをマッピングし、盗んだVPN認証情報と新しく追加したVPNアカウント、Windows Management Instrumentation (WMIC) & SSH、TACACS+/RADIUS認証を使用して横方向の移動を試みます。
Mora_001は、二重の恐喝のためにファイルを暗号化する前に、カスタムツールを使用してデータを盗み、ファイルサーバー、データベースサーバー、ドメインコントローラーを優先します。
暗号化プロセスの後、身代金のメモが被害者のシステムにドロップされます。その後、「WipeBlack」と呼ばれる特注のワイパーが配備され、フォレンジック分析を妨げるランサムウェア実行ファイルの痕跡をすべて削除する。
ソースはこちら:Forescout
SuperBlackのLockBitへのリンク
Forescoutは、SuperBlackランサムウェアの動作とLockBitランサムウェアの間に強いつながりがあることを示す広範な証拠を発見したが、前者は独立して動作しているように見える。
最初の要素は、SuperBlack encryptor[VirusTotal]がLockBitの3.0リーク・ビルダーをベースにしており、同一のペイロード構造と暗号化メソッドを特徴としていますが、オリジナルのブランドはすべて剥奪されています。
Source:Forescout
次に、SuperBlackの身代金要求書には、LockBitの操作にリンクされたTOXチャットIDが含まれており、Mora_001がLockBitの元アフィリエイトか、身代金の支払いや交渉を管理するコアチームの元メンバーであることを示唆しています。
関連性を示唆する3つ目の要素は、以前のLockBitの業務とIPアドレスが広範囲に重なっていることです。また、WipeBlackはBrainCipherランサムウェア、EstateRansomware、SenSayQランサムウェアにも利用されており、これらはすべてLockBitと関連している。
Forescout は、SuperBlack ランサムウェア攻撃に関連する侵害の指標(IoC)の広範なリストをレポートの下部で共有しています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments