В период с конца января по начало марта, компания Forescout Research - Vedere Labs обнаружила серию вторжений, связанных с уязвимостями устройств Fortinet. Эти вторжения начались с эксплуатации устройств Fortigate и привели к развертыванию нового штамма вымогательского ПО, известного как SuperBlack. Они приписывают эти вторжения угрожающему субъекту под названием "Mora_001", и отмечают его связь с экосистемой LockBit.
Описание
Связь Mora_001 с LockBit указывает на усложнение современного ландшафта вымогательства, где специализированные группы сотрудничают, чтобы использовать дополнительные возможности. В отчете представлена подробная информация о тактиках, методах и процедурах Mora_001, а также рекомендации по обнаружению и снижению рисков. Они продолжат наблюдение за этим агентом и будут уточнять свою оценку его связи с LockBit.
Операционная сигнатура Mora_001 отличает его от других операторов вымогательского ПО, включая аффилированных лиц LockBit. Это указывает на наличие отдельного угрожающего субъекта со структурированной программой действий. Анализ вторжений позволил идентифицировать уникальные шаблоны поведения, которые позволяют с уверенностью отнести будущие вторжения к Mora_001, независимо от его точной связи с LockBit.
Вторжения, связанные с эксплойтами для брандмауэра Fortinet, начинаются с эксплуатации уязвимостей CVE-2024-55591 и CVE-2025-24472. Злоумышленники используют данные уязвимости для получения привилегий super_admin на целевых устройствах Fortinet с открытыми интерфейсами управления. Угроза Mora_001 изначально эксплуатирует уязвимые устройства с использованием эксплойта WebSocket или прямых HTTPS-запросов. Наблюдались случаи, когда злоумышленники использовали стандартный эксплойт и его незначительные модификации. В результате вторжений, взломщики создают идентичные имена пользователей, манипулируют IP-адресами и разворачивают программы-вымогатели в течение 48 часов.
Indicators of Compromise
IPv4
- 109.248.160.118
- 170.130.55.164
- 176.53.147.5
- 185.147.124.10
- 185.147.124.31
- 185.147.124.34
- 185.147.124.55
- 185.224.0.201
- 185.95.159.43
- 192.248.155.218
- 193.143.1.65
- 213.176.64.114
- 217.144.189.35
- 45.15.17.67
- 5.181.171.133
- 57.69.19.70
- 77.239.112.0
- 80.64.30.237
- 80.66.88.90
- 89.248.192.55
- 94.154.35.208
- 94.156.177.187
- 94.156.227.208
- 95.179.234.4
- 95.217.78.122
- 96.31.67.39
SHA256
- 782c3c463809cd818dadad736f076c36cdea01d8c4efed094d78661ba0a57045
- 813ad8caa4dcbd814c1ee9ea28040d74338e79e76beae92bedc8a47b402dedc2
- 917e115cc403e29b4388e0d175cbfac3e7e40ca1742299fbdb353847db2de7c2
- c994b132b2a264b8cf1d47b2f432fe6bda631b994ec7dcddf5650113f4a5a404
- d9938ac4346d03a07f8ce8b57436e75ba5e936372b9bfd0386f18f6d56902c88
- f383bca7e763b9a76e64489f1e2e54c44e1fd24094e9f3a28d4b45b5ec88b513
