SuperBlack Ransomware operators exploit Fortinet Firewall flaws in recent attacks
2025/03/14 SecurityAffairs — Fortinet の2つの脆弱性を悪用し、SuperBlack ランサムウェアを展開する脅威アクターの活動を、2025年1月〜3月に Forescout Research – Vedere Labs の研究者たちが観察した。この攻撃では、ロシア語のアーティファクトが用いられ、独自の運用シグネチャである Mora_001 を示すとおり、この脅威アクターによるものだと、専門家たちは考えている。Mora_001 が LockBit エコシステムに関連している可能性があると、専門家たちは推測している。つまり、ランサムウェア・オペレーションの、複雑さが増していることを反映している。
漏洩した LockBit ビルダーを用いて暗号化ツールを作成した Mora_001 は、Forescout により SuperBlack ランサムウェアとして追跡されたことで、すべての LockBit ブランドを削除したという。
Mora_001 は、独立した脅威アクターとして追跡されているが、被害者間で重複するユーザー名/IP アドレスに加えて、48時間以内にランサムウェアを展開する迅速さといった、ポスト・エクスプロイトにおける一貫した戦術が示されている。興味深いことに、身代金要求メッセージでは、 TOX ID が LockBit と共有されており、潜在的な提携関係が示唆されている。しかし、構造化されたプレイブックと、独自の運用パターンにより、単独で侵入する能力を持った、独立したエンティティとして区別される。
FortiOS と FortiProxy の脆弱性である、CVE-2024-55591/CVE-2025-24472 を悪用することで、この脅威アクターは、脆弱な Fortinet アプライアンス上のスーパー管理者権限を取得している。
Forescout が公開したレポートには、「脆弱性 CVE-2024-55591/CVE-2025-24472 の悪用に成功した、未認証の攻撃者は、管理インターフェイスが公開されている脆弱な FortiOS デバイス (<7.0.16) で、スーパー管理者権限を取得できる。また、脆弱性情報が開示されてから 96 時間以内の、1月27日に PoC エクスプロイトは公開されていた」と記されている。
Fortinet は 2025年1月の時点で、脆弱性 CVE-2024-55591 に対してパッチを適用し、その後には、別の攻撃ベクターとして CVE-2025-24472 を追加した。そして、 FortiOS の PoC エクスプロイトが公開された 1月27日の僅か4日後には、それを悪用する Mora_001 が、少なくとも1つのローカル・システム管理者アカウントの作成に成功したことで、これらの脆弱性が急速に武器化されている状況が、Forescout により明らかにされた。
攻撃者が用いたのは、2種類の手口である:
- jsconsole:この攻撃者は jsconsole インターフェイスを介して、WebSocket の脆弱性を悪用した。このアクティビティは、ログを分析することで発見できる。それらのログには、jsconsole (IP) として表示されるが、その IP アドレスはというと、127.0.0.1/13.73.13.73/8.8.8.8/1.1.1.1 といった、認識可能なアドレスで偽装されることが多い。
- HTTPS:この攻撃者は、ダイレクトに HTTPS リクエストを使用するが、ログ上では異なる形で、この手法は表示される。ただ、同じ脆弱性が狙われている。
この脅威アクターは、デフォルトの PoC エクスプロイトを悪用し、また、ユーザー名や IP アドレスなどを少しだけ変更するという、修正バージョンも悪用していた。
Forescout のレポートには、「ファイアウォールに VPN 機能が存在するケースでは、この脅威アクターは、正規のアカウントに似た名前を持ち、その末尾に数字を追加したローカル VPN ユーザー・アカウントを作成した。それらの、新たに作成されたユーザーは、その後に VPN ユーザー・グループへと追加され、それ以降のログインを可能にしていた。この戦術は、おそらく、通常の管理レビュー中に検出を回避し、最初のエントリ・ポイントが発見された後であっても、永続的なアクセスを維持することを意図していた。その後に脅威アクターは、新しく作成されたユーザーに対して、手動でパスワードをアサインしていた」と記されている。
Mora_001 は、サーバやドメイン・コントローラーといった、高価値のリソースをターゲットにして、その検出には WMIC を、また、アクセスには SSH を使用し、データの流出させた場合に限って、最終目的であるランサムウェア展開を試行していた。
LockBit 3.0 の身代金メモと流出ツールを変更して流用する SuperBlack だが、暗号化を達成した後にランサムウェアの痕跡を消去するために、ワイパー・コンポーネントである WipeBlack を保持していた。
同レポートは、「このワイパー・コンポーネントを “WipeBlack” と名付けた。これは、LockBit および BrainCipher に関連する以前の、ランサムウェア・インシデントで確認されているものだ。BrainCipher が関連付けされる先は、SenSayQ/EstateRansomware/RebornRansomware などである。さらに、このワイパーのビルダーは、漏洩した LockBit ビルダーに関連付けられているため、LockBit に関連するランサムウェア・オペレーションとのつながりが、強く疑われている。このワイパー・ファイルは、暗号化の達成後に、ランサム実行ファイルの証拠を削除するように設計されている」と付け加えている。
Fortinet Firewall の脆弱性 CVE-2024-55591/CVE-2025-24472 を悪用したランサムウェア攻撃が展開されています。CVE-2024-55591 に関しては、情報公開の直後に CISA KEV に登録されています。ご利用のチームは、十分にご注意下さい。よろしければ、以下の関連記事も、カテゴリ Ransomware と併せて、ご参照ください。
2025/02/11:FortiOS/FortiProxy の CVE-2025-24472 への攻撃
2025/01/28:FortiOS/FortiProxy の CVE-2024-55591 と PoC
2025/01/15:FortiOS の脆弱性 CVE-2024-55591 が CISA KEV に登録
2025/01/14:FortiOS/FortiProxy の CVE-2024-55591 の悪用を確認
IoT OT Security News 
You must be logged in to post a comment.