最近,一种名为SuperBlack的新型勒索软件引起了公众的关注。这种恶意软件由一个名为Mora_001的操作团伙开发,并利用了Fortinet网络安全设备中的两项身份验证绕过漏洞,具体漏洞编号为CVE-2024-55591和CVE-2025-24472。这些漏洞使攻击者能够未经授权地访问Fortinet防火墙,部署其定制的勒索软件,给企业和组织带来了重大安全风险。 ### Fortinet漏洞回顾 Fortinet于2024年1月和2025年2月公开了这两个漏洞。在首次披露CVE-2024-55591时,Fortinet确认该漏洞已被利用为零日漏洞,Arctic Wolf表示,攻击者自2024年11月以来就已利用此漏洞入侵FortiGate防火墙。而CVE-2025-24472在Fortinet的一次公告中被更新为“活跃利用”,但后来Fortinet却声称这一漏洞并未被利用。
这种混淆的情况可能使得许多企业在应对这一安全威胁时产生误判。 ### SuperBlack勒索软件的攻击链 根据Forescout的研究,Mora_001勒索软件团伙在攻击中遵循一种相对结构化的攻击链,几乎没有变化。第一步,攻击者通过利用上述Fortinet漏洞获取‘super_admin’权限。这可以通过WebSocket攻击jsconsole接口或向暴露的防火墙接口发送直接的HTTPS请求来实现。 一旦成功获得超级管理员权限,攻击者会创建新的管理员账户(如forticloud-tech、fortigate-firewall、administrator),并修改自动化任务以确保即使这些账户被删除也能重新创建。 接下来,攻击者将进行网络映射,并尝试通过盗窃的VPN凭据和新创建的VPN账户进行横向移动,利用Windows管理工具(WMIC)、SSH以及TACACS+/RADIUS身份验证进行进一步渗透。
此过程中,Mora_001使用定制工具窃取数据,随后对目标文件进行加密,采用双重勒索策略,优先针对文件和数据库服务器以及域控制器进行攻击。 完成加密后,攻击者会在受害者系统上留下勒索通知,并部署一个名为‘WipeBlack’的定制清除工具,以消除勒索软件的所有痕迹,从而妨碍法医调查的进行。 ### SuperBlack与LockBit的关联 Forescout的报告指出,SuperBlack勒索软件与LockBit勒索软件存在广泛的关联证据,尽管前者似乎是独立行动。超级黑的加密程序以LockBit 3.0泄露构建器为基础,具备相同的有效负载结构和加密方法,但剔除了所有原始品牌标识。 此外,SuperBlack的勒索通知还包括一个与LockBit操作有关的TOX聊天ID,暗示Mora_001可能是LockBit的前关联者或核心团队的前成员,负责管理勒索支付和谈判。最后,SuperBlack的攻击显示出与LockBit操作的IP地址显著重叠,这进一步加强了两者之间的联系。
### 如何保护自己的网络 面对SuperBlack勒索软件的威胁,企业和组织应采取针对性的措施以强化他们的网络安全防护。以下是一些推荐的防护措施: 1. **及时更新系统和软件**:确保所有网络设备和软件及时打补丁,以防止已知漏洞被利用。 2. **实施多因素身份验证**:通过实施多因素身份验证来增强账户安全性,即使攻击者获得了凭据,他们也无法轻易访问系统。 3. **定期备份数据**:定期备份重要数据并将其存储在离线位置,这样即使被勒索,企业也能迅速恢复关键数据。 4. **教育员工**:对员工进行常规的网络安全培训,增强其对钓鱼攻击和恶意软件的认识。 5. **监控网络流量**:使用网络监控工具识别可疑流量和行为,及时发现并响应潜在威胁。
### 结论 在当今信息安全日益严峻的环境中,SuperBlack勒索软件的出现再次提醒我们网络安全的重要性。通过了解这些威胁及其工作流程,企业可以更有效地保护自己,降低遭受勒索软件攻击的风险。随着技术的不断发展,保持警惕,定期更新安全措施,将是确保网络安全的唯一途径。
