Хакерская группа «Mora_001»: угроза программ-вымогателей и уязвимости Fortinet

Хакерская группа 171Mora001187: угроза программ-вымогателей и уязвимости Fortinet

Недавний отчет о кибербезопасности освещает деятельность хакера под псевдонимом Mora_001, который оказался причастен к серии атак с использованием программ-вымогателей. Эти атаки фокусируются на уязвимостях в устройствах Fortinet, таких как CVE-2024-55591 и CVE-2025-24472, что делает их особенно опасными для организаций по всему миру.

Методы атаки и особенности поведения

По данным отчета, Mora_001 использует комбинацию оппортунистических тактик и методологий, которые напоминают группу программ-вымогателей LockBit. Это сочетание независимой работы и сотрудничества в рамках экосистем программ-вымогателей как услуги (RaaS) подчеркивает актуальность проблемы. Атаки характеризуются следующими особенностями:

  • Использование идентичных имен пользователей в нескольких сетях жертв.
  • Дублирование IP-адресов на различных этапах атаки.
  • Быстрое развертывание программ-вымогателей в течение двух дней после первоначального взлома.

Уникальные модификации программ-вымогателя

Анализ указывает на то, что злоумышленники использовали модифицированную версию программы-вымогателя, названную «SuperBlack». Эта версия, напоминающая LockBit 3.0, отличается следующими модификациями:

  • Измененное содержание записки с требованием выкупа.
  • Другие инструменты фильтрации для сокрытия принадлежности.

Первоначальные методы доступа

Mora_001 использовал уязвимости для создания несанкционированных учетных записей локального администратора. Это позволило загружать конфиденциальные файлы конфигурации брандмауэра и вносить несанкционированные изменения.

В средах с возможностями VPN злоумышленник создавал поддельные локальные учетные записи для обеспечения постоянного доступа и избежания обнаружения. Когда прямой доступ к VPN был невозможен, он использовал учетные данные взломанного брандмауэра через конфигурации TACACS+ или RADIUS.

Цели и последствия атак

После проникновения в сеть приоритетом для злоумышленника становились важные объекты, такие как файловые серверы, где он мог избирательно внедрять программы-вымогатели после извлечения данных. Такой подход соответствует развивающимся тенденциям в области программ-вымогателей, акцентирующим внимание на краже данных перед шифрованием.

Заключение и рекомендации

Деятельность Mora_001 подчеркивает сложности современных программ-вымогателей, когда различные участники обмениваются инструментами и методами, расширяя спектр существующих угроз. Важнейшие рекомендации для организаций:

  • Немедленное применение обновлений FortiOS.
  • Ограничение доступа к управлению.
  • Аудит учетных записей администраторов.
  • Проверка пользовательских конфигураций VPN.
  • Включение комплексного ведения журнала для улучшения возможностей обнаружения и реагирования.

Распространение уязвимых брандмауэров FortiGate остается актуальной проблемой, особенно в регионах с высокой уязвимостью, таких как Соединенные Штаты, Индия и Бразилия.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: