Ocak ayı sonu ve Mart 2025 başları arasında, Forescout’un Vedere Labs’daki siber güvenlik araştırmacıları, kritik Fortinet güvenlik açıklarından yararlanan bir dizi sofistike müdahaleyi ortaya çıkardılar.
“Mora_001” olarak izlenen yeni tanımlanmış bir tehdit aktörüne atfedilen saldırılar, “Superblack” olarak adlandırılan özel bir fidye yazılımı suşunun konuşlandırılmasıyla sonuçlandı.
MORA_001, iki kritik Fortinet güvenlik açıkının kullanımı ile başlayarak ağlardan ödün vermeye yönelik sistematik bir yaklaşım göstermiştir: CVE-2024-55591 ve CVE-2025-24472.
Bu kusurlar, 7.0.16’dan önceki Fortios sürümlerini etkiler ve kimlik doğrulanmamış saldırganların maruz kalan yönetim arayüzlerine sahip savunmasız cihazlarda süper_admin ayrıcalıkları kazanmasına izin verir.
Araştırmacılar, 27 Ocak 2025’te bir kavram kanıtı istismarının kamuya açıklanmasından sadece 96 saat sonra vahşi doğada iki farklı sömürü yöntemi gözlemlediler.
İlk yöntem, WebSocket güvenlik açığını sahte IP adresleriyle kullanan JSConsole arayüzünü kullandı (genellikle 127.0.0.1, 8.8.8.8 veya diğer tanınabilir adresler).
İkinci yöntem, aynı altta yatan güvenlik açığını hedefleyen doğrudan HTTPS istekleri kullanıldı.
Kalıcılık teknikleri
Başlangıç erişimi kazandıktan sonra, MORA_001 birkaç sofistike mekanizma ile kalıcılık kurdu.
Saldırganlar, “Forticloud-Tech”, “Fortigate-Firewall” ve “Adnimistrator” (“Yönetici” nin kasıtlı bir yanlış yazımı) dahil olmak üzere meşru hizmetlerle karışmak için tasarlanmış isimlerle sürekli olarak yerel sistem yöneticisi hesapları oluşturdular.
Özellikle sinsi bir teknik, iyileştirme girişimlerinden sonra bile kalıcılığı sağlamak için otomatik görevler oluşturmayı içeriyordu.
Örneğin, saldırganlar, kaldırıldıklarında yönetici hesaplarını otomatik olarak yeniden oluşturacak günlük komut dosyası otomasyon görevlerini yapılandırdı.
Böyle bir komut dosyası, süper_admin ayrıcalıkları ve önceden belirlenmiş bir şifre ile bir “Forticloud-sync” kullanıcısını yeniden oluşturma komutunu içeriyordu.
Yüksek kullanılabilirlik (HA) konfigürasyonlarına sahip ortamlarda, MORA_001, uzlaşmış yapılandırmayı aynı kümedeki ek güvenlik duvarlarına yaymak için senkronizasyonu zorladı ve arka kapı hesaplarını birden fazla cihaza etkili bir şekilde yaydı.
Kalıcılık kurduktan sonra MORA_001, çevresel zeka toplamak için Fortigate gösterge tablolarını kullanarak kapsamlı keşif gerçekleştirdi.
Saldırganlar, yanal hareket için potansiyel yolları tanımlamak için durum, güvenlik, ağ ve kullanıcılar ve cihazlar gösterge tablolarına erişti.
VPN özelliklerine sahip ortamlarda, tehdit oyuncusu meşru hesaplara benzeyen isimlerle, ancak sonunda bir rakam eklemek gibi ince değişikliklerle ek VPN kullanıcı hesapları oluşturdu (örneğin, “xxx1”).
Bu hesaplar daha sonra VPN kullanıcı gruplarına eklendi ve gündelik idari incelemeden kaçarken gelecekteki ağ erişimini sağladı.
Ağ geçiş yöntemleri
Yanal hareket için MORA_001 çoklu tekniklerden yararlandı:
1. Dahili ağlara erişmek için çalıntı VPN kimlik bilgilerini kullanarak.
2. Ek güvenlik duvarlarından ödün vermek için yüksek kullanılabilirlik (HA) konfigürasyonunun yayılımı.
3. Active Directory ile senkronize edilecek şekilde yapılandırıldığında TACACS+ veya RADIUS aracılığıyla kimlik doğrulama altyapısını kötüye kullanma.
4. Uzak sistem keşfi ve yürütme için Windows Yönetimi Enstrümantasyonu (WMIC) kullanma.
5. Ek sunuculara ve ağ cihazlarına erişmek için SSH kullanılması.
Saldırganlar, özellikle dosya sunucuları, kimlik doğrulama sunucuları, etki alanı denetleyicileri ve veritabanı sunucuları olmak üzere yüksek değerli hedeflere öncelik verdiler.
Tüm ağların ayrım gözetmeden şifrelemesinden ziyade, MORA_001, hassas veriler içeren seçici olarak hedeflenen sistemler, önce şifrelemeye başlamadan önce veri açığa çıkmasına odaklanıyor.
Superblack fidye yazılımı
Araştırmacılar tarafından “SuperBlack” olarak adlandırılan MORA_001 tarafından dağıtılan fidye yazılımı, Lockbit 3.0’a (Lockbit Black olarak da bilinir) benziyor, ancak belirli değişikliklerle.
Birincil farklılıklar fidye notu yapısında ve özel bir veri açığa çıkarma işleminin dahil edilmesidir.
Kozmetik değişikliklere rağmen, fidye yazılımı Lockbit ekosistemine güçlü bağlantılar sürdürür.
Fidye notu, daha önce 3.0 işlemlerine daha önce bağlantılı olan bir Tox Sohbet Kimliği (DED25DCB2AAAF65A05BEA584A0D1BB1D55DD2D8BB4185fa39B5175C60C8DDDD0C0A7F8A8C815) içerir.
Not, Lockbit’in HTML şablonu yapısını korur, ancak başlık gibi açık markalaşma öğelerini genellikle Lockbit Fidye yazılımı olarak tanımlar.
Araştırmacılar, Superblack’ı daha önce Blackmatt, Lockbit ve Blackmatte fidye yazılımıyla ilişkili karmaları içe aktarmaya bağlayan Virustotal hakkında ek örnekler belirlediler.
Bu kanıt, MORA_001’in sızdırılmış inşaatçılarından yararlanan mevcut veya eski bir Lockbit bağlı kuruluşu veya Lockbit’in altyapısını ve araçlarını yeniden düzenleyen bağımsız bir tehdit oyuncusu olduğunu göstermektedir.
Altyapı ve Desenler
Birincil Superblack Yürütülebilir, şifreleme işlemini işler ve “Wipeblack” olarak adlandırılan bir silecek modülü de dahil olmak üzere ek bileşenleri indirir.
Bu bileşen, Lockbit ve BrainCipher’e bağlı önceki fidye yazılımı olaylarında gözlemlenmiştir, bu da senSayQ, Estateransomware ve RebornRansomware ile bağlantıları vardır.
Silecek, statik analizi engellemek için Windows API’lerinin dinamik çözümü ve komut yürütme için adlandırılmış boruların kullanımı dahil olmak üzere sofistike anti-forensik teknikler kullanır.
Şifreleme tamamlandıktan sonra, 1 MB tampon ve 0x3105DFDE’nin şifre çözme anahtarı kullanarak rastgele verilerle fidye yazılımı yürütülebilir dosyasının üzerine yazılır ve ilk enfeksiyonun kanıtını etkili bir şekilde siler.
MORA_001’in işlemleri, birden fazla kenar cihazına karşı kaba kuvvet girişimleri gerçekleştirdiği gözlemlenen 185.147.124.34 IP adresi dahil olmak üzere belirli altyapıya bağlanmıştır.
Bu IP adresi, çeşitli VPN hizmetleri ve Edge cihazları için zorlayıcı kimlik bilgilerini zorlamak için tasarlanmış bir Rusça yardımcı programı olan “VPN Brute v1.0.2” olarak tanımlanan bir aracı barındırıyor.
VPN Brute Aracı, aşağıdakileri içeren birden fazla platformu hedefler:
- Uzak Masaüstü Web Erişimi (RDWeb)
- Pulsesecure (araçta “Dana” olarak adlandırılır)
- Outlook Web Erişim (OWA)
- Palo Alto Networks GlobalProtect
- Fortinet
- Cisco
- F5 Networks Big-IP
- Citrix
Araştırmacılar, VPN Brute sürümlerini çalıştıran 15 ek IP adresi belirlediler ve başarılı kimlik bilgisi keşfi, özel kullanıcı adı ve şifre kombinasyonları ve balpot algılama özelliklerinden sonra devam eden kaba zorlama gibi gelişmiş işlevler sunuyor.
MORA_001 kampanyası, ilk erişim için çevre güvenlik cihazlarından yararlanma eğiliminin altını çiziyor ve saldırganlar hızla açıklanan güvenlik açıklarını silahlandırıyor.
Raporun yazısından itibaren, ABD (7.677), Hindistan (5.536) ve Brezilya (3.201), en fazla açıkta kalan fortigate güvenlik duvarlarına ev sahipliği yapıyor ve bu da onları bu saldırılara karşı özellikle savunmasız hale getiriyor.
Hafifletme
Mora_001 ve benzer tehditlere karşı korumak için kuruluşlar aşağıdaki önlemleri uygulamalıdır:
1. CVE-2024-55591 ve CVE-2025-24472’ye yönelik fortios güncellemeleri uygulayarak Hemen Hassas Sistemler.
2. Mümkün olduğunca harici yönetim arayüzlerini devre dışı bırakarak yönetim erişimini kısıtlayın.
3. Yetkisiz kullanıcıları tanımlamak ve kaldırmak için yönetici hesaplarının düzenli denetimlerini yapın.
4. Şüpheli görevler için otomasyon ayarlarını, özellikle günlük veya saatlerde çalışması planlananlar için inceleyin.
5. Meşru kullanıcı adlarının veya yakın zamanda oluşturulan hesapların küçük varyasyonları için VPN kullanıcılarını ve gruplarını gözden geçirin.
6. CLI denetim günlükleri, HTTP/s trafik günlükleri, ağ ilkesi sunucusu denetimi ve kimlik doğrulama sistemi denetimi dahil olmak üzere kapsamlı günlüğü etkinleştirin.
MORA_001 kampanyası, fidye yazılımı manzarasında, fırsatçı sömürüyü hedeflenen veri hırsızlığı ve seçici şifreleme ile harmanlayan sofistike bir evrimi temsil eder.
Lockbit gibi yerleşik fidye yazılımı ekosistemlerine operasyonel bağlantıları sürdürürken, MORA_001, onu benzersiz bir tehdit oyuncusu olarak ayıran farklı taktikler ve araçlar geliştirdi.
Fortinet dağıtımları olan kuruluşlar, savunmasız cihazların yamalanmasına öncelik vermeli ve ortaya çıkan bu tehdide karşı korunmak için önerilen azaltmaların uygulanması gerekir.
Yeni açıklanan güvenlik açıklarının hızlı bir şekilde kullanılması, hedeflerine ulaşmadan önce sofistike saldırıları tespit etmek ve bunlara yanıt vermek için zamanında güvenlik güncellemelerinin ve kapsamlı ağ izlemenin kritik önemini vurgulamaktadır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.