Antara akhir Januari hingga awal Maret, Forescout Research – Vedere Labs mengidentifikasi serangkaian intrusi yang didasarkan pada dua kerentanan Fortinet. Serangan ini dimulai dengan eksploitasi perangkat firewall Fortigate — yang berpuncak pada penyebaran varian ransomware baru yang kami beri nama SuperBlack.
Kami mengaitkan intrusi-intrusi ini dengan aktor ancaman yang kami lacak dengan nama “Mora_001”, sesuai dengan konvensi penamaan kami yang menggunakan mitologi dari berbagai wilayah. Dalam kasus ini, kami menggunakan mitologi Slavia karena aktor tersebut menggunakan artefak berbahasa Rusia. Aktor ini menunjukkan ciri operasional yang khas, menggabungkan elemen serangan oportunistik dengan keterkaitan terhadap ekosistem LockBit.
Hubungan Mora_001 dengan operasi ransomware LockBit yang lebih luas menyoroti kompleksitas lanskap ransomware modern yang meningkat — di mana tim-tim spesialis bekerja sama untuk memanfaatkan kapabilitas yang saling melengkapi. Kami baru-baru ini menyoroti tren ini dalam riset kami mengenai eksploitasi zero-day yang menargetkan router DrayTek.
Laporan ini merinci taktik, teknik, dan prosedur (TTP) Mora_001, beserta strategi deteksi dan mitigasi yang direkomendasikan. Kami akan terus memantau aktor ini dan menyempurnakan penilaian kami seiring dengan berkembangnya pemahaman kami terhadap hubungan mereka dengan LockBit.
Mora_001: Gambaran Umum Operator Ransomware Baru
Berikut adalah karakteristik utama dari aktor ancaman Mora_001 yang baru diidentifikasi dan mengeksploitasi CVE-2024-55591 serta CVE-2025-24472 yang memengaruhi perangkat Fortinet:
Kami melacak Mora_001 sebagai aktor ancaman independen, sambil mengakui keterkaitannya dengan operasi ransomware yang sudah mapan berdasarkan faktor-faktor berikut:
- Pola pasca-eksploitasi yang konsisten di berbagai insiden yang kami investigasi, termasuk:
- Pembuatan nama pengguna yang identik di beberapa jaringan korban
- IP address yang tumpang tindih digunakan untuk akses awal, pasca-eksploitasi, dan operasi command-and-control (C2)
- Pola pencadangan konfigurasi yang serupa di lingkungan yang dikompromikan
- Penyebaran ransomware yang cepat (dalam 48 jam) saat kondisi memungkinkan, serta rekonsiliasi yang diperpanjang di lingkungan dengan kontrol keamanan yang lebih ketat
- Kustomisasi ransomware
Aktor ini memanfaatkan builder LockBit yang telah bocor, memodifikasi struktur catatan tebusan dengan menghapus merek LockBit, serta menggunakan alat eksfiltrasi milik mereka sendiri.
- Hubungan dengan LockBit
Catatan tebusan mencakup TOX ID yang sama dengan yang digunakan oleh LockBit, yang menunjukkan kemungkinan keterkaitan dengan geng ransomware terkenal tersebut. Hubungan ini bisa berarti bahwa Mora_001 adalah afiliasi saat ini dengan metode operasional yang unik, atau kelompok rekanan yang berbagi saluran komunikasi.
Pola pasca-eksploitasi yang diamati memungkinkan kami mendefinisikan tanda operasional unik yang membedakan Mora_001 dari operator ransomware lainnya, termasuk afiliasi LockBit. Kerangka kerja operasional yang konsisten ini menunjukkan bahwa ini adalah aktor ancaman yang khas dengan pedoman kerja yang terstruktur, bukan sekadar beberapa operator yang mengikuti metodologi LockBit secara umum.
Dengan menganalisis garis waktu intrusi, indikator yang tumpang tindih, dan pola operasional, kami dapat dengan yakin mengatribusikan intrusi di masa mendatang ke entitas ini – terlepas dari hubungan pastinya dengan LockBit.
Analisis Intrusi
Dari Eksploitasi Firewall Fortinet hingga Penyebaran Ransomware
Investigasi kami mengidentifikasi intrusi di berbagai lingkungan yang ditelusuri kembali ke eksploitasi kerentanan firewall Fortinet. Di bawah ini, kami menyajikan log firewall yang hampir lengkap dan berperan penting dalam merekonstruksi rangkaian serangan ini. Untuk melindungi organisasi yang masih dalam proses remediasi, kami telah menyunting tanggal, stempel waktu, dan detail sensitif lainnya.
Akses Awal dan Persistensi
Kerentanan CVE-2024-55591 dan CVE-2025-24472 memungkinkan penyerang yang tidak diautentikasi memperoleh hak super_admin pada perangkat FortiOS yang rentan (<7.0.16) yang antarmuka manajemennya terbuka.
Sebuah eksploitasi proof-of-concept (PoC) dirilis secara publik pada 27 Januari, dan dalam waktu 96 jam, kami mengamati eksploitasi aktif di alam liar menggunakan dua metode berbeda:
- jsconsole: Eksploitasi langsung kerentanan WebSocket melalui antarmuka jsconsole. Dalam log, aktivitas ini muncul sebagai jsconsole(IP), dengan alamat IP yang sering dipalsukan menjadi 127.0.0.1, 13.73.13.73, 8.8.8.8, 1.1.1.1, atau alamat IP lain yang mudah dikenali.
- HTTPS: Metode eksploitasi alternatif menggunakan permintaan HTTPS langsung. Meskipun metode ini muncul berbeda dalam log, ia menargetkan kerentanan dasar yang sama.
Kami mengamati beberapa kasus di mana aktor ancaman menggunakan eksploitasi PoC standar maupun varian yang sedikit dimodifikasi — hanya dengan perubahan kecil seperti nama pengguna dan alamat IP yang disesuaikan.
Untuk mengidentifikasi potensi jalur pergerakan lateral, aktor ancaman memanfaatkan dasbor bawaan FortiGate untuk mengumpulkan intelijen lingkungan yang lebih luas dari apa yang tersedia dalam file konfigurasi yang sebelumnya diunduh.
Aktor ancaman mengakses dasbor FortiGate berikut:
- Status Dashboard: Menampilkan metrik sistem dan indikator status.
- Security Dashboard: Memberikan wawasan tentang deteksi ancaman, penilaian kerentanan, dan host yang dikompromikan.
- Network Dashboard: Menunjukkan detail routing, status DHCP, performa SD-WAN, dan koneksi VPN.
- Users & Devices Dashboard: Mendaftar perangkat endpoint, koneksi FortiClient, autentikasi pengguna, dan perangkat yang dikarantina.
- WiFi Dashboard: Memantau jaringan nirkabel, titik akses, koneksi klien, dan peringatan keamanan nirkabel.
Pergerakan Lateral dan Penyebaran Ransomware
Dengan menggunakan konfigurasi firewall, wawasan dari dasbor, serta akses jaringan yang telah diperoleh (melalui VPN atau autentikasi langsung), para penyerang melakukan pergerakan lateral dalam jaringan, memprioritaskan target bernilai tinggi termasuk file server, server autentikasi dan domain controller, server basis data, dan perangkat infrastruktur jaringan lainnya.
Aktor ancaman ini terutama mengandalkan Windows Management Instrumentation (WMIC) untuk penemuan dan eksekusi sistem jarak jauh, serta SSH untuk mengakses sistem tambahan, khususnya server dan perangkat jaringan.
Dalam satu kasus yang dikonfirmasi, penyerang berfokus pada identifikasi dan kompromi file server, yang menjadi target utama untuk eksfiltrasi data dan penyebaran ransomware. Alih-alih mengenkripsi seluruh jaringan, penyerang secara selektif mengenkripsi file server yang berisi data sensitif.
Enkripsi dilakukan hanya setelah eksfiltrasi data, sejalan dengan tren terbaru di kalangan operator ransomware yang lebih memprioritaskan pencurian data daripada gangguan sistem secara keseluruhan.
Mitigasi yang Direkomendasikan
Intrusi yang kami selidiki menyoroti tren yang semakin meningkat dalam mengeksploitasi perangkat keamanan perimeter sebagai titik awal akses. Transisi yang cepat dari pengungkapan kerentanan ke eksploitasi aktif secara signifikan mempersempit waktu bagi organisasi untuk menerapkan pembaruan penting.
Untuk mengurangi ancaman ini, organisasi harus mengadopsi pendekatan pertahanan berlapis (defense in depth) dengan melakukan segmentasi jaringan secara tepat dan menerapkan kontrol keamanan berlapis yang dapat membatasi kemampuan penyerang dalam mencapai tujuannya.
Per saat penulisan ini, jumlah firewall FortiGate yang paling banyak terpapar berada di Amerika Serikat (7677), India (5536), dan Brasil (3201). Kami merekomendasikan tindakan berikut untuk para pengguna FortiGate:
- Perbarui sistem yang rentan: Segera terapkan pembaruan FortiOS yang mengatasi CVE-2024-55591 dan CVE-2025-24472.
- Batasi akses manajemen: Nonaktifkan akses manajemen eksternal ke firewall jika memungkinkan.
- Audit akun administrator: Tinjau secara rutin semua akun administrator dan hapus pengguna yang tidak sah atau tidak diharapkan.
- Periksa pengaturan otomatisasi: Cek tugas otomatisasi yang tidak sah, terutama yang dijadwalkan berjalan setiap hari atau di luar jam kerja.
- Tinjau pengguna VPN: Audit semua pengguna dan grup VPN untuk melihat variasi nama pengguna sah atau akun yang baru dibuat tanpa alasan bisnis yang jelas.
- Aktifkan pencatatan log secara menyeluruh: Salah satu celah umum dalam investigasi adalah kurangnya pencatatan log yang lengkap. Pastikan hal berikut diaktifkan:
- Log audit CLI di FortiGate
- Log lalu lintas HTTP/S ke/dari firewall
- Audit Network Policy Server (NPS) untuk peristiwa autentikasi
- Audit sistem autentikasi yang merekam keberhasilan dan kegagalan (bukan hanya kegagalan saja)
Pencatatan log yang menyeluruh akan meningkatkan kemampuan deteksi, investigasi, dan perburuan ancaman secara proaktif.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di forescout.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!