خانه » حملات جدید باج‌افزار SuperBlack: مهاجمان از آسیب‌پذیری‌های Fortinet برای نفوذ به شبکه‌ها سوءاستفاده می‌کنند!
اخبار باج افزار

حملات جدید باج‌افزار SuperBlack: مهاجمان از آسیب‌پذیری‌های Fortinet برای نفوذ به شبکه‌ها سوءاستفاده می‌کنند!

توسط Vulnerbyt_News
نوشته شده توسط Vulnerbyt_News
new-ransomware-operator-exploits-fortinet-vulnerability گروه والنربایت vulnerbyte

محققان Forescout یک گروه باج‌افزاری جدید به نام Mora_001 را شناسایی کرده‌اند که با سوءاستفاده از دو آسیب‌پذیری بحرانی در محصولات Fortinet به فایروال‌ها دسترسی غیرمجاز پیدا کرده و ابزار رمزگذاری اختصاصی خود به نام SuperBlack را اجرا می‌کند.

این دو آسیب‌پذیری مربوط به دور زدن احراز هویت هستند و تحت شناسه‌های CVE-2024-55591 (با امتیاز CVSS: 9.8) و CVE-2025-24472  (با امتیاز CVSS: 8.1) ثبت شده‌اند. Fortinet این نقص‌ها را در ژانویه 2025 افشا کرد. در حالی که CVE-2024-55591 بلافاصله به‌عنوان یک آسیب‌پذیری تحت سوءاستفاده فعال شناسایی شد، آسیب‌پذیری CVE-2025-24472 ابتدا باعث سردرگرمی شد. Fortinet در ابتدا هرگونه سوءاستفاده را انکار کرد، اما بعداً تأیید کرد که مهاجمان از این آسیب‌پذیری سوءاستفاده کرده‌اند.

جزئیات حملات باج افزار SuperBlack

محققان Forescout نخستین حملات مرتبط با SuperBlack را در اواخر ژانویه 2025 مشاهده کردند و تأیید کردند که هکرها از CVE-2025-24472 برای نفوذ استفاده کرده‌اند. پس از این کشف، Fortinet مشاوره امنیتی(security advisory) خود را به‌روزرسانی کرد و تأیید کرد که این آسیب‌پذیری تحت حمله قرار گرفته است.

مراحل حمله به‌صورت سیستماتیک اجرا می‌شود:

دسترسی اولیه و افزایش سطح دسترسی

مهاجمان با بهره‌گیری از آسیب‌پذیری‌های CVE-2024-55591 و CVE-2025-24472 در دستگاه‌های FortiOS (نسخه‌های پایین تر از 7.0.16)، به سطح دسترسی super_admin دست پیدا می‌کنند. این مرحله به آن‌ها اجازه می‌دهد تا کنترل کامل بر فایروال را به دست آورند. این حملات از طریق دو روش انجام شده است:

  • Jsconsole: سوءاستفاده مستقیم از آسیب‌پذیری WebSocket در رابط jsconsole، که در لاگ‌ها با آدرس‌های جعلی مانند 127.0.0.1، 13.73.13.73، 8.8.8.8 و 1.1.1.1 نمایش داده می‌شود.
  • HTTPS: ارسال درخواست‌های مستقیم HTTPS به فایروال برای سوءاستفاده از همان آسیب‌پذیری.

ایجاد حساب‌های مخرب و حفظ دسترسی پنهان

مهاجمان پس از اکسپلویت موفق آسیب‌پذیری‌ها و تأیید دسترسی خود با استفاده از نام‌های کاربری تصادفی، اقدام به ایجاد حساب‌های مدیریتی محلی جدید کردند. نمونه‌هایی از حساب‌های ایجادشده:

  • forticloud-tech
  • fortigate-firewall
  • adnimistrator (نسخه غلط املایی عمدی از “administrator” برای دشوار کردن شناسایی سریع)

در برخی موارد، مهاجمان به‌جای استفاده از یک حساب کاربری ادمین برای تمامی اقدامات، از روش زنجیره‌سازی حساب‌ها استفاده کردند. به این معنی که هر حساب جدید برای ایجاد حساب‌های مدیریتی بیشتری استفاده می‌شد. این روش باعث سخت‌تر شدن فرایند پاک‌سازی و شناسایی تمامی حساب‌های مخرب توسط تیم‌های امنیتی می‌شود.

پس از ایجاد حساب‌های مدیریتی، مهاجمان اقدام به دانلود فایل پیکربندی فایروال کردند. این فایل شامل اطلاعات حساس زیر بود:

  • سیاست‌های امنیتی و مسیریابی
  • کلیدهای رمزگذاری و تنظیمات VPN
تغییر در ییکربندی

علاوه بر این، بررسی لاگ‌ها نشان می‌دهد که مهاجمان تنظیمات سیستم را تغییر داده‌اند، که نشان‌دهنده دست‌کاری پیکربندی امنیتی فایروال است.

در فایروال‌هایی که از VPN پشتیبانی می‌کردند، مهاجمان حساب‌های کاربری VPN جدیدی ایجاد کردند. نام این حساب‌ها مشابه حساب‌های قانونی اما با افزودن یک رقم در انتها بود و رمز عبور حساب‌های جدید به‌صورت دستی توسط مهاجمان تنظیم شده‌است. این کاربران جدید به گروه کاربران VPN اضافه شدند تا مهاجمان بتوانند در آینده از این دسترسی‌ها استفاده کنند. این روش به آن‌ها اجازه می‌دهد که در بررسی‌های معمول مدیریتی کمتر جلب توجه کنند و حتی در صورت کشف نقطه ورود اولیه، همچنان به شبکه دسترسی داشته باشند.

در مواردی که مهاجمان قادر به افزودن کاربران VPN نبودند، تلاش کردند با استفاده از اطلاعات کاربری ایجادشده در فایروال اولیه، به فایروال‌های دیگر ورود کنند. دو روش کلیدی برای این کار استفاده شده‌است:

الف) انتشار پیکربندی در محیط‌های High Availability (HA):

در فایروال‌هایی که به‌صورت HA (مدل افزونگی) پیکربندی شده بودند، مهاجمان از قابلیت همگام‌سازی HA برای انتشار پیکربندی دستکاری‌شده خود به سایر فایروال‌ها در یک گروه(cluster) استفاده کردند. این روش تضمین می‌کند که حساب‌های مخرب و اسکریپت‌های خودکار در سراسر شبکه تکثیر شوند.

ب) سوءاستفاده از زیرساخت احراز هویت:

در فایروال‌هایی که از TACACS+ یا RADIUS برای احراز هویت استفاده می‌کردند، مهاجمان تلاش کردند با استفاده از این روش وارد شبکه شوند. این حمله در صورتی موفق می‌شود که کاربران محلی ایجادشده با Active Directory (AD) همگام‌سازی شده باشند یا احراز هویت از طریق Radius Community secret انجام شود. این کار به مهاجمان اجازه می‌دهد بدون نیاز به ورود مستقیم از طریق فایروال، از طریق Network Policy Server (NPS) احراز هویت کرده و به شبکه دسترسی پیدا کنند.

علاوه بر اطلاعات استخراج‌شده از فایل پیکربندی، مهاجمان از داشبوردهای داخلی FortiGate برای شناسایی مسیرهای احتمالی جهت گسترش در شبکه استفاده کردند. این اطلاعات به آن‌ها کمک کرد تا موارد زیر را انجام دهند:

  • زیرساخت سازمان را بهتر درک کنند.
  • سیستم‌های حیاتی را شناسایی کنند.
  • برای گسترش حمله و انجام اقدامات بعدی برنامه‌ریزی کنند.

گسترش در شبکه

مهاجمان پس از مرحله قبل، شروع به گسترش نفوذ خود در شبکه می‌کنند. آن‌ها از دسترسی‌های به‌دست‌آمده برای ورود به سیستم‌های دیگر و جمع‌آوری داده‌های حساس استفاده می‌کنند. مهاجمان با استفاده از اطلاعات استخراج‌شده از فایروال، به سراغ سرورهای ارزشمند مانند سرورهای احراز هویت، فایل سرورها، کنترل‌کننده‌های دامنه و دیتابیس‌ها می‌روند. ابزارهای مورد استفاده برای گسترش در شبکه:

  • Windows Management Instrumentation: برای کشف سیستم‌های شبکه و اجرای دستورات از راه دور.
  • SSH: برای دسترسی به سرورها و تجهیزات شبکه.

استخراج و رمزگذاری داده‌ها

قبل از اجرای عملیات رمزگذاری، مهاجمان داده‌های حساس سازمان را استخراج کرده و به سرورهای تحت کنترل خود ارسال می‌کنند. این اطلاعات ممکن است شامل اسناد مالی، اطلاعات کاربری، داده‌های مشتریان یا سایر اطلاعات حیاتی باشد. برخلاف برخی باج‌افزارها که کل شبکه را رمزگذاری می‌کنند، در این حمله فقط سرورهای حاوی داده‌های حساس هدف قرار گرفتند.

پس از اطمینان از سرقت داده‌های مهم، مهاجمان عملیات رمزگذاری فایل‌ها را آغاز می‌کنند. ابزار SuperBlack که مبتنی بر سورس کد LockBit 3.0 است، برای رمزگذاری داده‌ها روی سیستم‌های قربانی استفاده می‌شود.

پاک‌سازی ردپاها

در مرحله پایانی، مهاجمان ابزار WipeBlack را اجرا می‌کنند تا تمام ردپاهای مربوط به فرآیند رمزگذاری را حذف کنند. این ابزار به‌طور خاص طراحی شده است تا لاگ‌های امنیتی، رکوردهای رمزگذاری و سایر نشانه‌های حمله را از بین ببرد، تا تحلیل‌های فارنزیک را برای تیم‌های امنیتی دشوار می‌کند.

شباهت SuperBlack با باج‌افزار LockBit

تحلیل‌های اولیه نشان می‌دهد که باج‌افزار SuperBlack به‌شدت به عملیات LockBit مرتبط است و این یافته‌ها نشان می‌دهند که گروه Mora_001 می‌تواند با افراد کلیدی یا همکاران سابق LockBit در ارتباط باشد:

  • کد منبع SuperBlack بر اساس LockBit 3.0 است.
  • آدرس‌های IP مورد استفاده در حملات Mora_001 با کمپین‌های قبلی LockBit همپوشانی زیادی دارند.
  • ابزار WipeBlack قبلاً در حملات مرتبط با LockBit مانند BrainCipher، EstateRansomware و SenSayQ مشاهده شده است.

توصیه‌های امنیتی برای مقابله با این حملات:

  • فوراً FortiOS را به آخرین نسخه منتشرشده توسط Fortinet به‌روزرسانی کنید.
  • دسترسی غیرضروری به رابط مدیریتی Fortinet را از اینترنت مسدود کنید.
  • احراز هویت چندمرحله‌ای (MFA) را برای حساب‌های مدیریتی فعال کنید.
  • ورودهای غیرمعمول به سیستم را پایش کرده و ترافیک شبکه را برای شناسایی فعالیت‌های مشکوک بررسی کنید.
  • از مکانیزم‌های نظارتی برای تشخیص گسترش مهاجمان در شبکه استفاده کنید.
  • به‌طور منظم از داده‌های حساس بکاپ بگیرید و بکاپ‌ها را در مکان‌های ایزوله نگه دارید.
منابع:

https://dailyinfosec.net/cve-2024-55591-cve-2025-24472-fortinets-double-vulnerability-nightmare/

https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vulnerability-duo/

همچنین ممکن است دوست داشته باشید

گروه‌های باج‌افزار Black Basta و Cactus بدافزار BackConnect...

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.