Хакерская группа «Mora_001»: угроза программ-вымогателей и уязвимости Fortinet

Недавний отчет о кибербезопасности освещает деятельность хакера под псевдонимом Mora_001, который оказался причастен к серии атак с использованием программ-вымогателей. Эти атаки фокусируются на уязвимостях в устройствах Fortinet, таких как CVE-2024-55591 и CVE-2025-24472, что делает их особенно опасными для организаций по всему миру.
Методы атаки и особенности поведения
По данным отчета, Mora_001 использует комбинацию оппортунистических тактик и методологий, которые напоминают группу программ-вымогателей LockBit. Это сочетание независимой работы и сотрудничества в рамках экосистем программ-вымогателей как услуги (RaaS) подчеркивает актуальность проблемы. Атаки характеризуются следующими особенностями:
- Использование идентичных имен пользователей в нескольких сетях жертв.
- Дублирование IP-адресов на различных этапах атаки.
- Быстрое развертывание программ-вымогателей в течение двух дней после первоначального взлома.
Уникальные модификации программ-вымогателя
Анализ указывает на то, что злоумышленники использовали модифицированную версию программы-вымогателя, названную «SuperBlack». Эта версия, напоминающая LockBit 3.0, отличается следующими модификациями:
- Измененное содержание записки с требованием выкупа.
- Другие инструменты фильтрации для сокрытия принадлежности.
Первоначальные методы доступа
Mora_001 использовал уязвимости для создания несанкционированных учетных записей локального администратора. Это позволило загружать конфиденциальные файлы конфигурации брандмауэра и вносить несанкционированные изменения.
В средах с возможностями VPN злоумышленник создавал поддельные локальные учетные записи для обеспечения постоянного доступа и избежания обнаружения. Когда прямой доступ к VPN был невозможен, он использовал учетные данные взломанного брандмауэра через конфигурации TACACS+ или RADIUS.
Цели и последствия атак
После проникновения в сеть приоритетом для злоумышленника становились важные объекты, такие как файловые серверы, где он мог избирательно внедрять программы-вымогатели после извлечения данных. Такой подход соответствует развивающимся тенденциям в области программ-вымогателей, акцентирующим внимание на краже данных перед шифрованием.
Заключение и рекомендации
Деятельность Mora_001 подчеркивает сложности современных программ-вымогателей, когда различные участники обмениваются инструментами и методами, расширяя спектр существующих угроз. Важнейшие рекомендации для организаций:
- Немедленное применение обновлений FortiOS.
- Ограничение доступа к управлению.
- Аудит учетных записей администраторов.
- Проверка пользовательских конфигураций VPN.
- Включение комплексного ведения журнала для улучшения возможностей обнаружения и реагирования.
Распространение уязвимых брандмауэров FortiGate остается актуальной проблемой, особенно в регионах с высокой уязвимостью, таких как Соединенные Штаты, Индия и Бразилия.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



