-
09/04/2020
-
94
-
702 bài viết
Báo động: Ransomware SuperBlack tấn công diện rộng, khai thác lỗ hổng Fortinet
Một nhóm ransomware mới có tên 'Mora_001' đang khai thác 2 lỗ hổng bảo mật trong sản phẩm của Fortinet để truy cập trái phép vào các thiết bị tường lửa và triển khai một biến thể ransomware tùy chỉnh có tên SuperBlack.
2 lỗ hổng này cho phép kẻ tấn công bỏ qua bước xác thực, có mã định danh là CVE-2024-55591 và CVE-2025-24472.
Tổng quan về chuỗi tấn công của Mora_001 (Nguồn: Forescout)
Hơn nữa, các địa chỉ IP được sử dụng trong các cuộc tấn công của SuperBlack trùng khớp với hạ tầng từng được LockBit khai thác trước đây. Đặc biệt, công cụ xóa dấu vết WipeBlack mà SuperBlack sử dụng cũng từng xuất hiện trong các biến thể ransomware khác như BrainCipher, EstateRansomware, SenSayQ, tất cả đều có liên hệ với LockBit.
Biểu đồ mối quan hệ
Trước thực trạng này, Forescout đã công bố danh sách đầy đủ các chỉ số tấn công (Indicators of Compromise - IoC) liên quan đến ransomware SuperBlack trong báo cáo của họ, nhằm hỗ trợ các tổ chức nhận diện và ứng phó với mối đe dọa.
Để giảm thiểu rủi ro, các chuyên gia khuyến nghị cập nhật và vá lỗi thường xuyên cho tất cả các sản phẩm Fortinet, bao gồm FortiGate và các thiết bị bảo mật khác, nhằm khắc phục các lỗ hổng bảo mật nghiêm trọng như CVE-2024-55591 và CVE-2025-24472, ngăn chặn nguy cơ bị khai thác bởi các nhóm tấn công như Mora_001.
2 lỗ hổng này cho phép kẻ tấn công bỏ qua bước xác thực, có mã định danh là CVE-2024-55591 và CVE-2025-24472.
- Tháng 11/2024: Một nhóm nghiên cứu phát hiện CVE-2024-55591 đã bị khai thác từ thời điểm này để tấn công tường lửa FortiGate.
- 14/01/2025: Fortinet công bố CVE-2024-55591, xác nhận đây là một lỗ hổng zero-day đã bị khai thác.
- Cuối tháng 01/2025: Các nhà nghiên cứu của Forescout phát hiện các cuộc tấn công sử dụng ransomware SuperBlack.
- 02/02/2025: Forescout xác định nhóm tấn công đã khai thác CVE-2025-24472 ít nhất từ ngày này.
- 11/02/2025: Fortinet cập nhật khuyến cáo bảo mật tháng 1, bổ sung CVE-2025-2447, gây hiểu lầm rằng đây là một lỗ hổng mới bị khai thác. Tuy nhiên, Fortinet khẳng định lỗi này đã được khắc phục từ tháng 1/2024 và chưa từng bị khai thác.
- 11/02/2025: Fortinet tiếp tục cập nhật khuyến cáo bảo mật, xác nhận CVE-2025-24472 đang bị khai thác.
Chiến dịch tấn công của ransomware SuperBlack
Theo Forescout, nhóm Mora_001 sử dụng chuỗi tấn công có quy trình chặt chẽ, ít thay đổi giữa các nạn nhân.Tổng quan về chuỗi tấn công của Mora_001 (Nguồn: Forescout)
- Xâm nhập ban đầu:
- Kẻ tấn công khai thác hai lỗ hổng của Fortinet để giành quyền 'super_admin' trên thiết bị tường lửa.
- Chúng thực hiện các cuộc tấn công dựa trên WebSocket qua giao diện jsconsole hoặc gửi trực tiếp yêu cầu HTTPS tới các thiết bị tường lửa bị lộ trên internet.
- Tạo tài khoản quản trị và duy trì quyền kiểm soát:
- Tạo các tài khoản quản trị mới với tên: forticloud-tech, fortigate-firewall, adnimistrator.
- Chỉnh sửa các tác vụ tự động để đảm bảo tài khoản vẫn tồn tại ngay cả khi bị xóa.
- Di chuyển ngang (Lateral Movement):
- Quét mạng nội bộ, sử dụng VPN bị đánh cắp, tài khoản VPN mới tạo, Windows Management Instrumentation (WMIC), SSH, và xác thực TACACS+/RADIUS để mở rộng quyền truy cập.
- Đánh cắp dữ liệu và mã hóa tống tiền:
- Trích xuất dữ liệu nhạy cảm bằng công cụ tùy chỉnh trước khi tiến hành mã hóa (để thực hiện double extortion - vừa tống tiền bằng dữ liệu, vừa mã hóa hệ thống).
- Mục tiêu chính: máy chủ tệp, cơ sở dữ liệu và bộ điều khiển miền (Domain Controllers - DCs).
- Xóa dấu vết:
- Sau khi mã hóa xong, thả ghi chú đòi tiền chuộc trên hệ thống nạn nhân.
- Sử dụng công cụ xóa dấu vết tùy chỉnh 'WipeBlack' để xóa mọi bằng chứng về ransomware, gây khó khăn cho phân tích pháp y.
Mối liên hệ giữa SuperBlack và LockBit
Forescout đã tìm thấy nhiều bằng chứng cho thấy SuperBlack có mối liên hệ chặt chẽ với ransomware LockBit, mặc dù nhóm này dường như hoạt động độc lập. Công cụ mã hóa SuperBlack Encryptor được xây dựng dựa trên LockBit 3.0 leaked builder, với cấu trúc payload và thuật toán mã hóa giống hệt nhưng đã bị loại bỏ thương hiệu gốc. Ngoài ra, ghi chú đòi tiền chuộc của SuperBlack chứa TOX chat ID trùng khớp với các chiến dịch của LockBit, cho thấy Mora_001 có thể là cựu thành viên của LockBit hoặc từng phụ trách thanh toán tiền chuộc.Hơn nữa, các địa chỉ IP được sử dụng trong các cuộc tấn công của SuperBlack trùng khớp với hạ tầng từng được LockBit khai thác trước đây. Đặc biệt, công cụ xóa dấu vết WipeBlack mà SuperBlack sử dụng cũng từng xuất hiện trong các biến thể ransomware khác như BrainCipher, EstateRansomware, SenSayQ, tất cả đều có liên hệ với LockBit.
Biểu đồ mối quan hệ
Trước thực trạng này, Forescout đã công bố danh sách đầy đủ các chỉ số tấn công (Indicators of Compromise - IoC) liên quan đến ransomware SuperBlack trong báo cáo của họ, nhằm hỗ trợ các tổ chức nhận diện và ứng phó với mối đe dọa.
Để giảm thiểu rủi ro, các chuyên gia khuyến nghị cập nhật và vá lỗi thường xuyên cho tất cả các sản phẩm Fortinet, bao gồm FortiGate và các thiết bị bảo mật khác, nhằm khắc phục các lỗ hổng bảo mật nghiêm trọng như CVE-2024-55591 và CVE-2025-24472, ngăn chặn nguy cơ bị khai thác bởi các nhóm tấn công như Mora_001.
Theo Bleeping Computer
Chỉnh sửa lần cuối: