اپراتور جدید باجافزار به نام Mora_001 از دو آسیبپذیری Fortinet با شناسههای CVE-2024-55591 (امتیاز 9.6) و CVE-2025-24472 (امتیاز 8.1)، عبور از احراز هویت برای دسترسی غیرمجاز به دستگاههای فایروال و استقرار نوع جدید باجافزار SuperBlack سواستفاده میکند.
گزارش جدیدی از محققان Forescout حاکی از آن است که نفوذگران با اکسپلویت از دو نقص Fortinet با استفاده از حملات مبتنی بر WebSocket از طریق رابط jsconsole یا ارسال درخواستهای مستقیم HTTPS به واسطهای فایروال در معرض، دسترسی «super_admin» را به دست میآورد. سپس، اکانتهای مدیریت جدیدی ایجاد میکنند (forticloud-tech، fortigate-firewall، adnimistrator) و وظایف اتوماسیون را تغییر میدهند تا در صورت حذف، آنها را دوباره ایجاد کنند.
پس از این، نفوذگر با نقشهبرداری شبکه و با استفاده از اعتبار VPN سرقت شده و اکانتهای VPN افزوده شده جدید، ابزار مدیریت ویندوز (WMIC) و SSH و احراز هویت TACACS+/RADIUS تلاش میکند. Mora_001 قبل از رمزگذاری فایلها برای اخاذی مضاعف، اولویت دادن به سرورهای فایل و پایگاه داده و کنترلرهای دامنه، دادهها را با استفاده از یک ابزار سفارشی سرقت میکند. پس از فرآیند رمزگذاری و ارائه یادداشتهای باج بر روی سیستم قربانی، سپس wiper سفارشی «WipeBlack» جهت حذف تمام آثار باجافزار قابل اجرا برای جلوگیری از تجزیه و تحلیل مستقر میشود.
https://www.bleepingcomputer.com/news/security/new-superblack-ransomware-exploits-fortinet-auth-bypass-flaws/
