安全研究人员观察到与臭名昭著的LockBit黑客团伙有关的黑客正在利用一对Fortinet防火墙漏洞在多家公司网络上部署勒索软件。
在上周发布的一份报告中,Forescout Research的安全研究人员表示,他们正在跟踪的一个名为“Mora_001”的组织正在利用Fortinet防火墙,这些防火墙位于公司网络的边缘,并充当数字守门人,以便侵入并部署他们称之为“SuperBlack”的自定义勒索软件品种。
其中一个漏洞,追踪为CVE-2024-55591,自2024年12月以来已被利用于攻击Fortinet客户的公司网络。Forescout表示,第二个漏洞,追踪为CVE-2025-24472,也被Mora_001组织在攻击中利用。Fortinet在1月份发布了这两个漏洞的补丁。
Sai Molige,Forescout的威胁狩猎高级经理,告诉TechCrunch,这家网络安全公司已经“调查了三起不同公司的事件,但我们相信可能还有其他情况发生。”
在一起确认的入侵中,Forescout称其观察到攻击者“有选择性地”加密了包含敏感数据的文件服务器。
“此次加密仅在数据外泄后开始,与勒索软件运营商偏向数据窃取而非纯粹破坏的最新趋势一致,”Molige表示。
Forescout表示,Mora_001威胁行为者“展示出独特的操作特征”,该公司表示与去年被美国政府打击的LockBit勒索软件团伙有“密切联系”。Molige表示,SuperBlack勒索软件基于LockBit 3.0攻击中使用的恶意软件泄漏构建者,而Mora_001使用的勒索说明中包含LockBit使用的相同消息地址。
“这种联系可能表明Mora_001要么是具有独特操作方法的现有附属机构,要么是共享通信渠道的关联团体,”Molige说。
网络安全公司Arctic Wolf的威胁情报负责人Stefan Hostetler曾观察到CVE-2024-55591的利用情况,他告诉TechCrunch,Forescout的发现表明黑客“正在针对无法在漏洞最初披露时应用补丁或加固防火墙配置的剩余组织进行攻击。”
Hostetler表示,在这些攻击中使用的勒索说明与其他组织的相似,例如已停止运作的ALPHV/BlackCat勒索软件团伙。
Fortinet未回应TechCrunch的问题。
