2025년 1월 말부터 3월 초까지, Forescout의 Vedere Labs 사이버 보안 연구진은 Fortinet의 치명적인 취약점을 악용한 정교한 침입 시도를 발견했습니다. 이 공격은 "Mora_001"이라는 새로운 위협 행위자로 추적되며, 결국 맞춤형 랜섬웨어인 "SuperBlack" 배포로 이어졌습니다. 이러한 공격이 어떻게 진행되는지 이해하면 조직이 방어 체계를 강화하고 잠재적인 침해를 방지하는 데 도움이 될 수 있습니다.
Fortinet 취약점을 노린 공격
Mora_001은 두 가지 주요 Fortinet 취약점(CVE-2024-55591, CVE-2025-24472)을 악용하여 네트워크를 침해하는 체계적인 접근 방식을 보였습니다. 이 취약점은 FortiOS 7.0.16 이전 버전에 영향을 미치며, 관리 인터페이스가 노출된 취약한 장치에서 인증되지 않은 공격자가 super_admin 권한을 획득할 수 있게 합니다.
악용 기법 - 공격자는 다음 방법을 사용하고 있습니다:
WebSocket 취약점을 활용해 관리자 접근 권한을 위조.
HTTPS 요청을 직접 조작하여 인증 메커니즘을 우회.
PoC(Proof-of-Concept) 코드가 공개된 지 몇 시간 만에, 해커들은 실제 공격을 시작했습니다.
어떻게 시스템을 장악하는가? 공격자는 시스템에 침투한 후 여러 가지 지속적 접근 수단을 배치하여 계속해서 접근을 유지합니다.
백도어 관리자 계정 생성: 정상적인 시스템 계정처럼 보이는 관리자 계정(예: "forticloud-tech")을 추가하여 탐지를 피합니다.
자동 계정 재생성: 관리자가 백도어 계정을 삭제하더라도, 공격자는 자동으로 계정을 복구하는 스크립트를 사용합니다.
고가용성(HA) 설정을 통한 확산: Fortinet의 HA 기능을 사용하는 환경에서는 Mora_001이 동기화를 강제로 실행해 감염된 구성을 동일 클러스터 내 다른 방화벽으로 확산시킵니다.
초기 접근 권한을 확보한 후, 공격자는 FortiGate 대시보드를 사용하여 환경 정보를 수집하며 추가 침투 경로를 찾습니다. 공격자들은 상태 (Status), 보안 (Security), 네트워크 (Network), 사용자 및 장치 (Users & Devices) 대시보드를 분석하여 내부 이동 경로를 파악합니다.
VPN 악용: 공격자는 숨겨진 VPN 계정을 생성하여 장기적인 접근을 유지합니다.
Windows 관리 도구(WMI) 및 SSH: 네트워크 내 다른 장치를 탐색하고 악용하기 위해 사용됩니다.
고가치 시스템 공격: 공격자는 파일 서버, 인증 서버, 도메인 컨트롤러, 데이터베이스 서버와 같은 고가치 시스템을 우선 공격합니다. 네트워크 전체를 무차별적으로 암호화하는 대신, 민감한 데이터를 포함한 시스템을 선택적으로 타겟팅하고 데이터를 유출한 후 암호화를 실행합니다.
랜섬웨어 배포 전, 데이터 유출 우선
공격자는 랜섬웨어를 배포하기 전에 데이터 유출을 통해 민감한 파일을 빼내어, 나중에 금전적 요구나 재판매를 위해 활용합니다.
SuperBlack 랜섬웨어: LockBit 3.0 변종
Mora_001이 배포한 "SuperBlack" 랜섬웨어는 LockBit 3.0 (LockBit Black)과 유사하지만, 몇 가지 중요한 차이점이 있습니다. 주요 차이점은 랜섬 노트 구조와 맞춤형 데이터 유출 실행 파일이 포함된 점입니다.
맞춤형 데이터 탈취 도구: 시스템을 잠그기 전에 중요한 파일을 추출하도록 합니다.
Wiper 모듈 (WipeBlack): 공격의 흔적을 삭제하여 포렌식 조사를 어렵게 만듭니다.
SuperBlack 랜섬웨어 공격에서 Fortinet 취약점을 악용한 점은 보안 장비를 사용하는 조직들에게 경고를 보내는 신호입니다.
대응 전략: 적극적인 패치 적용, 엄격한 접근 제어, 지속적인 모니터링이 이런 위협을 완화하는 데 중요합니다.진화하는 공격 기법을 앞서 파악하고 대응함으로써 기업은 피해를 입기 전에 침해를 차단할 수 있습니다.
출처: