Haberler

Yeni Fidye Yazılım Grubu Mora_001, Fortinet Güvenlik Duvarlarını Hedef Alıyor

Fortinet güvenlik cihazlarındaki zafiyetler, yeni bir fidye yazılımı grubunun tırmanmasına sebep oldu. Forescout araştırmacıları, bu yeni grubun 2025’in başlarından itibaren bir dizi siber saldırıyı gerçekleştirdiğini tespit etti. Mora_001 olarak adlandırılan bu grup, Fortinet cihazlarındaki iki güvenlik açığından faydalanarak sistemlere sızdı. Bu zafiyetlerden biri CVE-2024-55591, diğeri ise CVE-2025-24472’dir. Söz konusu açığa dair bilgiler Fortinet tarafından Ocak 2024’te yayınlandı.

Bu zafiyetler, Fortinet’in güvenlik cihazlarına giriş yaparak sızan saldırganlara geniş erişim imkanları sağladı. Mora_001 grubu, bu açıkları kullanarak sistemlere girdikten sonra kalıcı erişim elde etti ve daha sonra kendi fidye yazılımlarını, SuperBlack’i devreye soktu.

Fortinet Açıkları Nasıl Sömürülüyor?

Forescout’un araştırmalarına göre, Mora_001 grubu önce Fortinet cihazlarındaki iki güvenlik açığını kullanarak ilk adımı attı. CVE-2024-55591, bir sıfır gün açığı olarak ortaya çıktı. Bu açık, Aralık 2024’te saldırganlar tarafından kullanılıyordu. CVE-2025-24472 ise bir süre sonra güvenlik danışmanlığına eklendi. Bu açıkların her ikisi de kimlik doğrulama bypass zafiyetleri oldu.

Bu açıklar sayesinde saldırganlar, kurbanların ağlarına sızarak sistemde kalıcı erişim sağladı. Forescout’a göre, saldırganlar önce süper yönetici hakları elde etti. Ardından, mevcut yönetici hesaplarına benzeyen yeni hesaplar oluşturarak erişimlerini gizlemeyi başardılar.

Saldırganlar, Fortinet cihazlarındaki yüksek erişim yetkilerine dayanarak, VPN kullanıcılarının hesap bilgileriyle ağdaki diğer cihazlara ulaşmaya çalıştı. Forescout’a göre, yüksek erişim gereksinimi duyan saldırganlar, “yüksek erişimli” (HA) sistemler üzerinde, saldırganların yapılandırmalarını kopyalayarak birden fazla cihazda kalıcı erişim sağladı.

Başka bir yöntem ise TACACS+ veya RADIUS protokollerinin kullanıldığı durumlarda devreye giriyordu. Bu protokoller, saldırganların ağda kimlik doğrulama yaparak hedef cihazlara erişim sağlamalarına imkan tanıyordu.

Saldırganlar Fortinet cihazlarına sızdıktan sonra, normalde “LockBit 3.0” veya “LockBit Black” fidye yazılımına dayanan SuperBlack fidye yazılımını devreye soktu. Bu yazılım, çoğu zaman LockBit’in kodlarıyla benzer özellikler taşıyor, ancak bazı küçük değişikliklerle özelleştirilmiş. Mora_001, fidye yazılımının etiketini değiştirdi ve LockBit’e ait logoları kaldırarak kendine özel bir kimlik oluşturdu.

Forescout, bu yeni fidye yazılımı SuperBlack’in, önceki BlackMatter ve BrainCipher saldırılarıyla ilişkilendirilen verileri silme özelliğine sahip olduğunu tespit etti. Ayrıca, fidye yazılımının geliştiricileri, saldırılarında kullanılan bazı şifreleme ve veri sızdırma yöntemlerinde de LockBit’i andıran izler bıraktı.

Mora_001 grubunun LockBit’e olan benzerliği, yalnızca kullanılan fidye yazılımının kodlarıyla sınırlı değil. Forescout araştırmacıları, Mora_001’in saldırılarında kullanılan bazı tekniklerin, LockBit ile daha önce görülen yöntemlerle paralellik gösterdiğini belirledi. Ayrıca, fidye yazılımı kurbanlarından biriyle iletişim kurmak için kullanılan qTox ID, LockBit grubunun önceki saldırılarında da yer alıyordu.

Fortinet Güvenlik Açıklarına Karşı Ne Yapılmalı?

Fortinet cihazlarını kullanan şirketlerin bu zafiyetleri patch’lemesi gerektiği vurgulandı. Forescout’un verilerine göre, Hindistan ve ABD’de çok sayıda internetle bağlantılı Fortinet cihazı, henüz CVE-2024-55591 için güncelleme yapmamış. Araştırmalar, ocak ayında yaklaşık 50.000 Fortinet kullanıcısının bu açık nedeniyle tehdit altında olduğunu ortaya koydu. Forescout, Fortinet kullanıcılarına şunları öneriyor:

  • Sistemi güncellemeyen kullanıcılar, hemen güvenlik yamasını uygulamalıdır.
  • Yönetici hesaplarını gözden geçirerek şüpheli kullanıcıların olup olmadığını kontrol etmelidir.
  • VPN kullanıcıları da gözden geçirilmelidir.
  • Dış yönetim erişimi, gerekirse devre dışı bırakılmalıdır.

Fortinet cihazlarındaki güvenlik açıkları, yeni bir fidye yazılımı grubunun yükselmesine neden oldu. Mora_001 grubunun LockBit’e olan benzerliği, siber güvenlik uzmanlarını daha dikkatli olmaya teşvik ediyor. Bu tür saldırılarla karşılaşmamak için, şirketlerin güvenlik açıklarını zamanında yamalayarak sistemlerini koruma altına almaları kritik öneme sahiptir.

İlgili Makaleler

Bir yanıt yazın

Başa dön tuşu