SuperBlack 랜섬웨어, Fortinet 방화벽 취약점 악용해 고도화된 침투 공격 수행

SuperBlack Ransomware operators exploit Fortinet Firewall flaws in recent attacks

SuperBlack Ransomware operators exploit Fortinet Firewall flaws in recent attacks

 

• 개요
  • 2025년 1~3월 사이, SuperBlack 랜섬웨어 운영자 Mora_001이 Fortinet 방화벽의 2개 취약점(CVE-2024-55591, CVE-2025-24472) 을 악용하여 공격 수행
  • Forescout Vedere Labs 분석 결과, Mora_001은 LockBit 빌더 유출 코드를 기반으로 암호화 모듈 제작
  • LockBit 계열 가능성 있으나 TOX ID 공유 외에는 독립적 전술(TTP) 과 조직화된 공격 절차 존재
• 취약점 상세 및 악용 경로
  • CVE-2024-55591 (FortiOS WebSocket 취약점)
  • CVE-2025-24472 (FortiProxy 인증 우회 취약점)
    • FortiOS 7.0.16 미만 버전, 외부에 노출된 관리 인터페이스가 공격 대상
    • PoC(개념증명코드)가 1월 27일 공개된 후 96시간 이내 실전 공격 발생
    • 슈퍼 관리자 권한(super_admin) 탈취 후 시스템 침투
• 침투 방식 및 흔적
  • jsconsole 인터페이스 악용 (로그 상 jsconsole(IP) 형식, IP 위조: 127.0.0.1, 8.8.8.8 등)
  • HTTPS 요청 기반 공격 (로그 상 다른 패턴으로 기록됨)
  • VPN 기능이 활성화된 경우
    • 합법적 계정 유사 명칭 + 숫자 추가로 VPN 사용자 생성
    • VPN 그룹에 사용자 추가하여 지속적 접근권한 확보
    • 수동 비밀번호 지정 → 일반적인 관리자 검토에서 탐지 어려움
• 내부 정찰 및 랜섬웨어 배포
  • WMIC를 통한 자산 탐색 및 SSH를 통한 접근
  • 도메인 컨트롤러, 서버 등 고가치 자산 중심
  • 데이터 탈취 후 랜섬웨어 배포, 전형적인 이중 협박 전략
• SuperBlack 랜섬웨어 특징
  • LockBit 3.0 빌더 기반이나 LockBit 브랜드 제거
  • 사용자화된 랜섬노트, exfiltration 도구 수정
  • WipeBlack라는 와이퍼 컴포넌트 사용
    • 암호화 후 랜섬웨어 실행 흔적 제거
    • BrainCipher, EstateRansomware 등 LockBit 계열의 후속 공격과 유사
    • 피해자 추적 및 포렌식 방해 목적
• 분석 결론
  • Mora_001은 LockBit 생태계 유출 자산을 무기화하여 고도화된 공격을 단독 수행할 수 있는 위협 행위자
  • PoC 공개 이후 4일 이내 실제 악용, 공급망 보안 및 패치 속도 대응의 시급성 보여줌
• 보안 권고
  • Fortinet 방화벽 관리자
    • FortiOS 7.0.16 이상, FortiProxy 최신 버전으로 즉시 업그레이드
    • WebUI, SSH, VPN 인터페이스 외부 노출 금지
    • 로컬 사용자 계정 및 VPN 사용자 목록 비정상 항목 수시 점검
  • 탐지 및 대응
    • jsconsole(127.0.0.1) 등의 로그 패턴 탐지
    • TOX ID, 암호화 도구 해시 등 관련 IOC를 기반으로 YARA 룰 작성
  • 조직 보안팀
    • SIEM에 Fortinet 로그 실시간 연계 및 경보 정책 강화
    • 침투 후 휘발성 계정 생성 등 포스트 익스플로잇 감시 체계 구축
• 결론
  • Mora_001은 LockBit 유출 자산을 활용해 Fortinet의 알려진 취약점을 빠르게 무기화한 고도화된 공격자
  • 랜섬웨어 및 와이퍼 결합 공격으로 피해 추적 방해, 확산 속도 및 파괴력 매우 높음
  • 조직의 VPN, 방화벽 취약점 패치 지연은 치명적인 보안 리스크로 작용하며, 이를 통해 공격자들은 기업의 핵심 인프라를 무력화할 수 있음