SuperBlackはランサムウェアです。
最近この活動が活発化し、このランサムウェアを展開する脅威アクターであるMora_001の作戦の内容が明らかになりました。
- 初期アクセス
Fortinetデバイスの脆弱性を悪用して攻撃が開始されます。
悪用される脆弱性はCVE-2024-55591とCVE-2025-24472で、どちらもFortiOS/FortiProxyの認証バイパスの脆弱性です。 - 特権昇格
接続出来たら、次は権限の昇格です。
脅威アクターはFortinetデバイスで管理者権限を取得します。
これには複数の方法が使用されていることが確認されています。
1つはjsconsoleインターフェースを介したWebSocketベースの攻撃で、もう1つは直接HTTPSリクエストを使用する代替のエクスプロイトを使う攻撃です。
この2つは手法が異なりますが、根本的には同じ脆弱性を悪用したものとなっています。 - 永続化
取得できたFortinetデバイスの管理者権限を使用し、次回以降の接続で使用するFortinetデバイス上のローカル管理ユーザを作成します。
forticloud-tech、fortigate-firewall、adnimistrator(スペルミスした状態のものが作成されます)といったローカルユーザが確認されています。
そして、勝手に作成した管理者アカウントが削除されても、仕掛けた定期動作するスクリプトによって、再度作成されるように仕掛けます。 - 横展開
VPN装置に作業場所を得た後は、侵害先環境で横展開します。
WMICを使用し、Windowsサーバを探します。
攻撃者はファイルサーバを特定して侵害することに重点を置いていて、これがデータの流出とランサムウェアの展開の主なターゲットとなりました。
攻撃者はネットワーク全体を暗号化するのではなく、機密データを含むファイルサーバを選択的に暗号化しました。 - データの抜き取り
ファイルサーバを操作できるようになると、そこにあるデータを抜き取ります。 - ファイルの暗号化
データを盗み終わったら、次は暗号化と脅迫です。
ランサムウェアを設置し、これを実行します。
ここで使用されるランサムウェアがSuperBlackです。
SuperBlackは様々な要素がLockBit3.0に類似しています。
LockBit3.0は別名がLockBit Blackということもあり、このランサムウェアはSuperBlackと命名されたようです。
攻撃の流れの重要な部分にFortinetのデバイスの脆弱性を悪用した活動となっています。
ここで使用されている脆弱性は他にも悪用が確認されていますが、すでにパッチが提供されている脆弱性です。
対策はいつも通りでOKです。
システムにパッチを適用する、外部ネットワークからWeb管理インターフェースへの接続を制限する、管理者アカウントを定期的に確認する、自動動作するタスクを定期的に確認する、VPNアカウントを定期的に確認する、ログが保存されるようにしその内容を運用として確認する、といった具合です。
この攻撃は適切な運用の継続によって回避できるものです。
正しい運用で安全性を高めましょう。
New Ransomware Operator Exploits Fortinet Vulnerability Duo
https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vulnerability-duo/
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
サイバー領域
- BitSightのサードパーティサービス:
サードパーティがもたらすサイバーリスクと
自社をセキュリティ保護する方法 - この記事はBitSight社のブログを翻訳したものです。 原題:Third Party Services: The Cyber Risk They Pose and How to...
- BitSightのサードパーティサービス:
-
サイバー領域
- ランサムウェア攻撃で漏洩したソースコードには何が含まれていたのか?サムスンの事例を分析
- この記事はGitGuardian社のブログを翻訳したものです。 原題:Samsung and Nvidia are the latest companies to involun...