2025-03-17 | 周峻佑
此篇文章聚焦於駭客組織 Mora_001 近期針對Fortinet FortiGate 防火牆 展開的 高風險攻擊行動。資安業者 Arctic Wolf 於 1 月警告,駭客利用 CVE-2024-55591(CVSS 9.6)繞過身份驗證,近日又與 CVE-2025-24472(CVSS 8.7)串連攻擊,顯示其 手法已升級並更具威脅性。此外,Forescout 研究團隊揭露,新型勒索軟體 SuperBlack 已被駭客組織用來攻擊 Fortinet 設備,並竊取內部機密資料,顯示此攻擊行動與 LockBit 勒索軟體高度相似。
駭客的攻擊手法可分為兩大類:
- 透過 jsconsole 觸發 WebSocket 弱點。
- 發送特製 HTTP 請求利用漏洞。
一旦成功入侵,駭客會:
- 建立本機管理員帳號(如 forticloud-tech、fortigate-firewall)。
- 下載防火牆組態檔案,進行內部偵察。
- 若防火牆啟用 VPN,駭客會建立存取管道,持續滲透網路。
- 若無 VPN,則利用 HA 組態,或濫用身份驗證基礎架構,在其他 Fortinet 防火牆建立存取點。
- 透過 WMIC、SSH 進行橫向移動,鎖定 高價值機密資料,最終 加密檔案並發動勒索。
作者指出,駭客使用的 SuperBlack 勒索軟體與 LockBit 3.0(LockBit Black)高度相似,其 勒索訊息及外洩工具雖有不同,但核心攻擊手法相似。研究人員推測 Mora_001 可能與 LockBit 勒索組織有關聯,或至少 受其技術影響。
最後文章強調,駭客組織 Mora_001 透過 CVE-2024-55591、CVE-2025-24472 大規模入侵 Fortinet 防火牆,並透過 SuperBlack 勒索軟體發動攻擊。面對 與 LockBit 類似的資安威脅,企業 IT 團隊應 立即修補漏洞、關閉對外管理介面、強化存取控制,以降低網路攻擊風險,避免機密資料遭竊取與加密勒索。
