هکرها با سوءاستفاده از آسیب‌پذیری‌های فایروال فورتینت، باج‌افزارها را منتشر می‌کنند!

اخیراً محققان امنیتی مشاهده کرده‌اند که هکرهای مرتبط با گروه معروف LockBit از دو آسیب‌پذیری فایروال‌های Fortinet برای استقرار باج‌افزار در چندین شبکه شرکتی بهره‌برداری می‌کنند. این موضوع به نگرانی‌های فزاینده‌ای در زمینه امنیت سایبری دامن زده است.

در گزارشی که هفته گذشته منتشر شد، محققان امنیتی در Forescout Research اعلام کردند که گروهی که آن‌ها تحت نظر دارند با نام “Mora_001” از فایروال‌های Fortinet که در لبه شبکه یک شرکت قرار دارند و به عنوان دروازه‌بان‌های دیجیتال عمل می‌کنند، برای نفوذ و استقرار یک نوع باج‌افزار سفارشی به نام “SuperBlack” استفاده می‌کند.

یکی از آسیب‌پذیری‌ها که با شناسه CVE-2024-55591 شناسایی شده است، از دسامبر 2024 در حملات سایبری برای نفوذ به شبکه‌های شرکتی مشتریان Fortinet مورد استفاده قرار گرفته است. Forescout اعلام کرده است که یک آسیب‌پذیری دیگر نیز با شناسه CVE-2025-24472 توسط Mora_001 در حملات مورد بهره‌برداری قرار می‌گیرد. Fortinet در ماه ژانویه برای هر دو آسیب‌پذیری وصله‌هایی منتشر کرد.

سای مولیگه، مدیر ارشد جستجوی تهدید در Forescout، به TechCrunch گفت که این شرکت “سه رویداد در شرکت‌های مختلف را بررسی کرده است، اما معتقدیم که ممکن است موارد دیگری نیز وجود داشته باشد.”

در یکی از نفوذهای تأیید شده، Forescout مشاهده کرده است که مهاجم به طور “انتخابی” سرورهای فایل حاوی داده‌های حساس را رمزگذاری کرده است.

مولیگه ادامه داد: “رمزگذاری تنها پس از خروج داده‌ها آغاز شد که با روندهای اخیر در میان اپراتورهای باج‌افزار که اولویت را به سرقت داده‌ها نسبت به اختلال خالص می‌دهند، همخوانی دارد.”

Forescout تصریح کرد که عامل تهدید Mora_001 “یک امضای عملیاتی متمایز را نشان می‌دهد” که به گفته این شرکت “تأثیرات نزدیکی” با گروه باج‌افزار LockBit دارد که سال گذشته توسط مقامات ایالات متحده مختل شد. مولیگه گفت که باج‌افزار SuperBlack بر اساس سازنده‌ای که از باج‌افزار LockBit 3.0 استفاده شده، ساخته شده است و یادداشت درخواست باج که توسط Mora_001 استفاده می‌شود شامل همان آدرس پیام‌رسانی است که LockBit از آن استفاده می‌کند.

مولیگه افزود: “این ارتباط می‌تواند نشان دهد که Mora_001 یا یک همکار فعلی با روش‌های عملیاتی منحصر به فرد است یا یک گروه وابسته که کانال‌های ارتباطی را به اشتراک می‌گذارد.”

استفان هاستتلر، رئیس اطلاعات تهدید در شرکت امنیت سایبری Arctic Wolf، که پیشتر بهره‌برداری از CVE-2024-55591 را مشاهده کرده است، به TechCrunch گفت که یافته‌های Forescout نشان می‌دهد که هکرها “به سمت سازمان‌هایی که قادر به اعمال وصله یا سخت‌افزاری پیکربندی‌های فایروال خود هنگام افشای آسیب‌پذیری نبودند، پیش می‌روند.”

هاستتلر همچنین بیان کرد که یادداشت درخواست باج در این حملات شباهت‌هایی به آنچه که گروه‌های دیگر، مانند گروه باج‌افزار ALPHV/BlackCat که اکنون منحل شده است، دارد.

در نهایت، Fortinet به سؤالات TechCrunch پاسخ نداد.

• آسیب‌پذیری‌ها: CVE-2024-55591 و CVE-2025-24472 مورد بهره‌برداری قرار گرفته‌اند.
• باج‌افزار: نوع سفارشی باج‌افزار به نام SuperBlack در حال استفاده است.
• متد مهاجم: رمزگذاری انتخابی داده‌ها پس از سرقت.
• گروه‌های مرتبط: Mora_001 ارتباط نزدیکی با LockBit دارد.

این رویدادها نشان‌دهنده چالش‌های امنیتی فزاینده‌ای هستند که سازمان‌ها باید به آن‌ها توجه کنند و اقدامات لازم را برای محافظت از داده‌های حساس خود انجام دهند.