近期,資安專家發現一個名為 Mora_001 的新興駭客組織正在利用 Fortinet 產品中的漏洞進行攻擊,並與惡名昭彰的 LockBit 勒索軟體組織有關聯。
安全研究人員指出,Mora_001 正在利用影響 Fortinet FortiGate 防火牆設備的兩個漏洞——CVE-2024-55591 和 CVE-2025-24472。美國 網路安全與基礎設施安全局(CISA) 在 1 月份發出緊急指令,要求所有聯邦民用機構必須在一週內修補 CVE-2024-55591,這是該機構歷來最短的修補期限之一。隨後,Fortinet 確認這些漏洞已遭到攻擊者利用,並在公告中加入了 CVE-2025-24472。
根據 Forescout Research 發佈的報告,從 1 月底到 3 月期間,研究人員發現多起入侵事件與這些漏洞有關,最終導致了一種新型勒索軟體的部署,該軟體被命名為 SuperBlack。
Forescout 的分析顯示,Mora_001 的攻擊手法與 LockBit 類似,他們利用了 LockBit 3.0(LockBit Black) 的洩漏建構器,但刪除了 LockBit 品牌標誌,並開發了自訂數據外洩工具。這表明該組織可能是 LockBit 的前附屬成員,正在調整其策略,或仍與 LockBit 生態系統保持間接聯繫。
資安專家 Stefan Hostetler(Arctic Wolf 資深威脅情報研究員)確認,這些 Fortinet 漏洞的攻擊行動早在 1 月底就已經開始,並於 2 月 2 日觀察到具體的攻擊活動。雖然 Fortinet 已釋出修補程式,但攻擊者仍然針對未能及時更新或強化防火牆配置的組織發動攻擊。
Arctic Wolf 進一步指出,針對 FortiGate 防火牆管理介面的掃描活動早在 12 月初就已出現,這比 Fortinet 正式披露漏洞的時間還要早,顯示出威脅行動者可能已掌握漏洞資訊並進行預先部署。此事件再次凸顯企業應 及時修補漏洞,並採取積極的網路安全防護措施。
Mora_001 的出現反映出當前勒索軟體攻擊模式的發展趨勢:自 2022 年 LockBit 3.0 建構器洩漏以來,許多攻擊團體開始開發自己的變種,並結合不同勒索軟體組織的策略。例如,SuperBlack 在勒索信結構與數據外洩技術上與 BlackCat/ALPHV 等其他勒索軟體組織的手法相似。
Fortinet 產品使用者建議措施:
立即安裝 Fortinet 安全更新,修補 CVE-2024-55591 和 CVE-2025-24472 漏洞。 檢查防火牆管理介面設定,確保未暴露於公網,降低風險。 監控與 SuperBlack 勒索軟體相關的攻擊指標(IoCs),偵測潛在入侵行為。 建立完整的事件應變計畫,確保組織能夠迅速應對可能的攻擊。
根據資安媒體TechCrunch,截至目前,Fortinet 尚未就此威脅發表進一步聲明。由於勒索軟體攻擊手法持續演變,企業與機構應保持高度警覺,確保關鍵系統的安全性,以防止惡意攻擊的影響。
SuperBlack勒索軟體的部分入侵指標(Indicator of compromise -IOCs):
FileHash-MD5 046b64c08f66f1820ae4ce5dd170e761
FileHash-MD5 294e9f64cb1642dd89229fff0592856b
FileHash-MD5 4bcc3589bbbbaa013bebf38d28d442ac
FileHash-MD5 5c082bc67a61c822877dab10226044c8
FileHash-SHA256
782c3c463809cd818dadad736f076c36cdea01d8c4efed094d78661ba0a57045
FileHash-SHA256
813ad8caa4dcbd814c1ee9ea28040d74338e79e76beae92bedc8a47b402dedc2