Kant's IT/Issue on IT&Security

SuperBlack 랜섬웨어, Fortinet 방화벽 취약점 악용해 고도화된 침투 공격 수행

Kant Jo 2025. 4. 20. 21:31

SuperBlack Ransomware operators exploit Fortinet Firewall flaws in recent attacks

 

SuperBlack Ransomware operators exploit Fortinet Firewall flaws in recent attacks

Operators behind the SuperBlack ransomware exploited two vulnerabilities in Fortinet firewalls for recent attacks.

securityaffairs.com

 

  • 개요
    • 2025년 1~3월 사이, SuperBlack 랜섬웨어 운영자 Mora_001이 Fortinet 방화벽의 2개 취약점(CVE-2024-55591, CVE-2025-24472) 을 악용하여 공격 수행
    • Forescout Vedere Labs 분석 결과, Mora_001은 LockBit 빌더 유출 코드를 기반으로 암호화 모듈 제작
    • LockBit 계열 가능성 있으나 TOX ID 공유 외에는 독립적 전술(TTP) 과 조직화된 공격 절차 존재
  • 취약점 상세 및 악용 경로
    • CVE-2024-55591 (FortiOS WebSocket 취약점)
    • CVE-2025-24472 (FortiProxy 인증 우회 취약점)
      • FortiOS 7.0.16 미만 버전, 외부에 노출된 관리 인터페이스가 공격 대상
      • PoC(개념증명코드)가 1월 27일 공개된 후 96시간 이내 실전 공격 발생
      • 슈퍼 관리자 권한(super_admin) 탈취 후 시스템 침투
  • 침투 방식 및 흔적
    • jsconsole 인터페이스 악용 (로그 상 jsconsole(IP) 형식, IP 위조: 127.0.0.1, 8.8.8.8 등)
    • HTTPS 요청 기반 공격 (로그 상 다른 패턴으로 기록됨)
    • VPN 기능이 활성화된 경우
      • 합법적 계정 유사 명칭 + 숫자 추가로 VPN 사용자 생성
      • VPN 그룹에 사용자 추가하여 지속적 접근권한 확보
      • 수동 비밀번호 지정 → 일반적인 관리자 검토에서 탐지 어려움
  • 내부 정찰 및 랜섬웨어 배포
    • WMIC를 통한 자산 탐색 및 SSH를 통한 접근
    • 도메인 컨트롤러, 서버 등 고가치 자산 중심
    • 데이터 탈취 후 랜섬웨어 배포, 전형적인 이중 협박 전략
  • SuperBlack 랜섬웨어 특징
    • LockBit 3.0 빌더 기반이나 LockBit 브랜드 제거
    • 사용자화된 랜섬노트, exfiltration 도구 수정
    • WipeBlack라는 와이퍼 컴포넌트 사용
      • 암호화 후 랜섬웨어 실행 흔적 제거
      • BrainCipher, EstateRansomware 등 LockBit 계열의 후속 공격과 유사
      • 피해자 추적 및 포렌식 방해 목적
  • 분석 결론
    • Mora_001은 LockBit 생태계 유출 자산을 무기화하여 고도화된 공격을 단독 수행할 수 있는 위협 행위자
    • PoC 공개 이후 4일 이내 실제 악용, 공급망 보안 및 패치 속도 대응의 시급성 보여줌
  • 보안 권고
    • Fortinet 방화벽 관리자
      • FortiOS 7.0.16 이상, FortiProxy 최신 버전으로 즉시 업그레이드
      • WebUI, SSH, VPN 인터페이스 외부 노출 금지
      • 로컬 사용자 계정 및 VPN 사용자 목록 비정상 항목 수시 점검
    • 탐지 및 대응
      • jsconsole(127.0.0.1) 등의 로그 패턴 탐지
      • TOX ID, 암호화 도구 해시 등 관련 IOC를 기반으로 YARA 룰 작성
    • 조직 보안팀
      • SIEM에 Fortinet 로그 실시간 연계 및 경보 정책 강화
      • 침투 후 휘발성 계정 생성 등 포스트 익스플로잇 감시 체계 구축
  • 결론
    • Mora_001은 LockBit 유출 자산을 활용해 Fortinet의 알려진 취약점을 빠르게 무기화한 고도화된 공격자
    • 랜섬웨어 및 와이퍼 결합 공격으로 피해 추적 방해, 확산 속도 및 파괴력 매우 높음
    • 조직의 VPN, 방화벽 취약점 패치 지연은 치명적인 보안 리스크로 작용하며, 이를 통해 공격자들은 기업의 핵심 인프라를 무력화할 수 있음