يقوم مشغل برنامج Ransomware الجديد المسمى “MORA_001” باستغلال نقاط الضعف في فورتينيت للوصول غير المصرح به إلى أجهزة جدار الحماية ونشر سلالة مخصصة لفدية يطلق عليها اسم Superblack.
إن نقاط الضعف ، كلاهما تجاوز المصادقة ، هما CVE-2024-55591 و CVE-2025-24472 ، والتي كشفها Fortinet في يناير وفبراير على التوالي.
عندما كشفت Fortinet لأول مرة CVE-2014-55591 في 14 يناير ، أكدوا أنها كانت”https://www.bleepingcomputer.com/news/security/fortinet-discloses-second-firewall-auth-bypass-patched-in-january/” الهدف=”_blank” rel=”nofollow noopener”> مستغل في يوم صفر، مع الذئب في القطب الشمالي ، قيل إنه كان”https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/” الهدف=”_blank” rel=”nofollow noopener”> المستخدمة في الهجمات منذ نوفمبر 2024 لخرق جدران الحماية FortiGate.
بشكل مربك ، في 11 فبراير ، أضاف Fortinet CVE-2015-2447 إلى”https://fortiguard.fortinet.com/psirt/FG-IR-24-535″ الهدف=”_blank” rel=”nofollow noopener”> استشاري يناير، الأمر الذي دفع الكثيرين إلى الاعتقاد بأنه كان عيبًا مستغلاً حديثًا. لكن،”https://www.bleepingcomputer.com/news/security/fortinet-discloses-second-firewall-auth-bypass-patched-in-january/” الهدف=”_blank” rel=”nofollow noopener”> فورتينيت قال بلينيكومبوت تم إصلاح هذا الخطأ أيضًا في يناير 2024 ولم يتم استغلاله.
“We are not aware of CVE-2025-24472 ever being exploited,” أخبر Fortinet BleepingComputer في ذلك الوقت.
ومع ذلك ، تقرير جديد قدمه”https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vulnerability-duo/” الهدف=”_blank” rel=”nofollow noopener”> الباحثين forescoutيقولون إنهم اكتشفوا هجمات Superblack في أواخر يناير 2025 ، حيث استخدم ممثل التهديد CVE-2025-24472 في أوائل 2 فبراير 2025.
“While Forescout itself did not directly report the 24472 exploitation to Fortinet, as one of the affected organizations we worked with was sharing findings from our investigation with Fortinet’s PSIRT team,” أخبر Forescout BleepingComputer.
“Shortly afterward, Fortinet updated their advisory on February 11 to acknowledge CVE-2025-24472 as actively exploited.”
اتصلت BleepingComputer بـ Fortinet لتوضيح هذه النقطة ، لكننا ما زلنا ننتظر الرد.
هجمات فدية Superblack
يقول Forescout إن مشغل MORA_001 Ransomware يتبع سلسلة هجوم منظمة للغاية لا تختلف كثيرًا عبر الضحايا.
أولاً ، يكتسب المهاجم امتيازات “Super_admin” من خلال استغلال عيوب Fortinet باستخدام الهجمات المستندة إلى WebSocket عبر واجهة Jsconsole أو إرسال طلبات HTTPS المباشرة إلى واجهات جدار الحماية المكشوفة.
بعد ذلك ، يقومون بإنشاء حسابات مسؤول جديدة (Forticloud-Tech و FortiGate-Firewall و Adnimistrator) وتعديل مهام الأتمتة لإعادة إنشاء تلك إذا تمت إزالتها.
المصدر: forescout
بعد ذلك ، يقوم المهاجم بتعيين الشبكة ويحاول الحركة الجانبية باستخدام بيانات اعتماد VPN المسروقة وحسابات VPN المضافة حديثًا ، وأجهزة إدارة Windows (WMIC) و SSH ، و TACACS+/RADIUS.
يقوم MORA_001 بسرقة البيانات باستخدام أداة مخصصة قبل تشفير الملفات للابتزاز المزدوج ، وتحديد أولويات خوادم الملفات وقواعد البيانات ووحدات التحكم في المجال.
بعد عملية التشفير ، يتم إسقاط ملاحظات الفدية على نظام الضحية. ثم يتم نشر ماسحة مصممة خصيصًا تسمى “WipeBlack” لإزالة جميع آثار Ransomware القابلة للتنفيذ لإعاقة تحليل الطب الشرعي.
المصدر: forescout
رابط Superblack إلى Lockbit
وجدت Forescout أدلة واسعة تشير إلى روابط قوية بين عملية الفدية الفائقة وبرامج Lockbit Ransomware ، على الرغم من أن الأول يبدو أنه يتصرف بشكل مستقل.
العنصر الأول هو أن مشفر Superblack[[
المصدر: forescout
ثانياً ، تتضمن Note Ransom Superblack معرف دردشة توكس مرتبط بعمليات Lockbit ، مما يشير إلى أن MORA_001 إما شركة تابعة سابقة أو عضو سابق في فريقها الأساسي الذي يدير مدفوعات الفدية والمفاوضات.
العنصر الثالث الذي يشير إلى ارتباط هو تداخل عنوان IP واسع النطاق مع عمليات Lockbit السابقة. أيضًا ، تم الاستفادة من WipeBlack أيضًا بواسطة Braincipher Ransomware و Estateransomware و Sensayq Ransomware ، وكلها مرتبطة بـ Lockbit.
شارك Forescout قائمة واسعة من مؤشرات التسوية (IOC) المرتبطة بهجمات الفدية الفائقة في أسفل تقريرها.