文章总结: FortiBleed凭证窃取活动被证实与INC和Lynx勒索软件有关联,攻击者利用自定义嗅探工具从Fortinet设备窃取凭证,规模涉及全球43万台设备,约1.9万台被部署嗅探器。研究还发现攻击者利用Nextcloud零日漏洞扩大访问权限,并创建持久后门账户。组织应加强Fortinet设备安全监控,及时修补漏洞。 综合评分: 84 文章分类: 威胁情报,恶意软件,漏洞分析,红队,安全运营
【安全圈】FortiBleed 凭证窃取活动与 Lynx 勒索软件有关联
安全圈
2026年7月2日 17:47 江苏
在小说阅读器读本章
去阅读
关键词
窃取
大规模的 FortiBleed 凭证窃取活动已被证实与 INC 和 Lynx 勒索软件行动有关,这表明窃取的 Fortinet 凭证旨在为未来的网络入侵提供动力。
本月早些时候,研究人员发现一个包含从超过 73,000 台 Fortinet 设备窃取的凭证的服务器暴露在互联网上。研究发现,该服务器包含下载的 FortiGate 配置文件、从受损设备收集的凭证,以及用于破解密码哈希和执行凭证填充攻击的基础设施。
由于暴露的凭证数量庞大且窃取操作规模巨大,该活动被命名为“FortiBleed”。
SOCRadar 的后续调查揭示,该行动在受感染的 FortiGate 防火墙上使用了一种名为“FortiGate Sniffer”的自定义数据包嗅探工具,使攻击者能够直接从网络流量中拦截 VPN 凭证和其他身份验证数据。
SOCRadar 威胁研究单元(STRU)的最新研究现在将凭证窃取行动直接与 INC 和 Lynx 勒索软件即服务(RaaS)组织的成员联系起来。
研究人员告诉 BleepingComputer,他们在识别出作为 FortiBleed 基础设施一部分的一台 Windows 服务器后发现了这一联系。
“我们的威胁研究人员识别出一台属于 FortiBleed 基础设施的 Windows 服务器,这进一步揭示了威胁行为者的作案手法,”SOCRadar 告诉 BleepingComputer。
“在对该服务器的调查过程中,对收集到的 artifacts 的分析显示,威胁行为者曾访问过 Lynx / INC 勒索软件集团的勒索谈判面板。”
SOCRadar 向 BleepingComputer 分享了截图,显示了访问这两个勒索软件集团管理面板的浏览器会话。图片显示了包含勒索谈判期间使用的受害者聊天的谈判仪表板。
据研究人员称,这提供了直接证据,证明有权访问 FortiBleed 基础设施的个人也参与了勒索软件集团的谈判平台。
该公司还表示,除了最初与该活动相关的服务器外,他们还识别出 200 多台额外的运营服务器,发现了在 FortiBleed 期间收集的受害者信息与后来列在 INC 勒索软件泄露网站上的组织重叠,并发现了表明该行动由大约 20 名具有明确角色的成员组成的证据。
SOCRadar 还表示,该活动的规模比最初理解的要大得多。
据研究人员称,该行动 targeting 了全球超过 430,000 台 FortiGate 防火墙,并在大约 19,000 台设备上部署了流量嗅探器。
在通知受影响组织后,受损设备的数量已降至约 11,000 台。研究人员还表示,他们识别出该行动使用的约 500 台服务器。
研究人员还认为,攻击者利用了一个此前未公开的 Nextcloud 零日漏洞,作为其在初始入侵后扩大访问权限的一部分。然而,技术细节尚未公布。
SOCRadar 还告诉 BleepingComputer,他们在受损系统上发现了使用用户名“adminin”的持久性后门账户,并正在继续 efforts 以恢复勒索软件解密密钥。
INC Ransom 自 2023 年年中以来一直作为勒索软件即服务平台运营, targeting 全球医疗、教育、政府和其他行业的组织。
Lynx 于 2024 年年中出现,安全研究人员认为它是 INC 勒索软件团伙的重品牌,而非一个新的勒索团伙。
SOCRadar 表示,一旦调查完成,将发布第二份技术白皮书,其中包含失陷指标、归因证据和额外的技术分析。
END
阅读推荐
【安全圈】Claude被曝暗检中国用户
【安全圈】幻影抢注利用 AI 幻觉域名进行钓鱼和恶意软件攻击
【安全圈】恶意 PyPI 包让黑客控制 Telegram 机器人服务器
【安全圈】AI插件藏后门?小心!
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
D
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈 《【安全圈】FortiBleed 凭证窃取活动与 Lynx 勒索软件有关联》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论