3月19日消息,安全研究人员发现,与臭名昭著的LockBit 团伙有关的黑客正利用Fortinet防火墙的两个漏洞,在多家企业网络中部署勒索软件。
已有多家企业因防火墙未打补丁被入侵
Forescout Research的安全研究人员在上周发布的报告中表示,他们正在追踪的一个名为“Mora_001”的黑客组织,正通过Fortinet防火墙入侵企业网络,并部署其自研勒索软件“SuperBlack”。这些防火墙位于企业网络的边界,承担着“数字守门人”的角色。 其中一个被利用的漏洞为CVE-2024-55591。自2024年12月以来,攻击者已利用该漏洞对Fortinet客户的企业网络发起攻击。Forescout指出,Mora_001还在使用另一个漏洞CVE-2025-24472进行攻击。Fortinet已于今年1月发布了针对这两个漏洞的安全补丁。 Forescout威胁狩猎高级经理Sai Molige表示,该公司已调查了三起不同企业遭遇的入侵事件,但他们认为实际受害者可能远不止这些。 在其中一起已确认的攻击事件中,Forescout发现,攻击者会“有针对性地”加密存储敏感数据的文件服务器。 Molige进一步解释道:“攻击者仅在完成数据窃取后才启动加密,这与近年来勒索软件运营的趋势一致。他们更倾向于窃取数据,而非单纯破坏系统。”
攻击者与LockBit勒索软件团伙关系密切
Forescout还指出,Mora_001这一威胁组织展现出了“独特的作战特征”,并且与LockBit勒索软件团伙“关系密切”。后者在去年已遭美国当局打击。Molige透露,SuperBlack勒索软件是基于LockBit3.0恶意软件生成器开发的,而该生成器此前已被泄露。此外,Mora_001组织在其勒索信中提供的联系方式,与LockBit团伙使用的完全一致。 Molige进一步分析称:“这一联系可能意味着Mora_001要么是LockBit的附属组织,但采用了不同的作战方式;要么是一个与LockBit共享通信渠道的关联团伙。” 网络安全公司Arctic Wolf 的威胁情报负责人Stefan Hostetler也观察到,CVE-2024-55591曾被黑客利用。他表示,Forescout的研究结果表明,攻击者正专门针对那些未能及时打补丁或强化防火墙安全配置的企业发起攻击。 Hostetler还提到,这些攻击中使用的勒索信,其风格与其他已知的勒索软件团伙(例如已解散的ALPHV/BlackCat)高度相似。
参考资料:techcrunch.com
来源:安全内参