【安全圈】FortiBleed凭证窃取活动与Lynx勒索软件有关联

admin 2026-07-03 05:08:22 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: FortiBleed凭证窃取活动被证实与INC和Lynx勒索软件有关联,攻击者利用自定义嗅探工具从Fortinet设备窃取凭证,规模涉及全球43万台设备,约1.9万台被部署嗅探器。研究还发现攻击者利用Nextcloud零日漏洞扩大访问权限,并创建持久后门账户。组织应加强Fortinet设备安全监控,及时修补漏洞。 综合评分: 84 文章分类: 威胁情报,恶意软件,漏洞分析,红队,安全运营


cover_image

【安全圈】FortiBleed 凭证窃取活动与 Lynx 勒索软件有关联

安全圈

2026年7月2日 17:47 江苏

在小说阅读器读本章

去阅读

关键词

窃取

大规模的 FortiBleed 凭证窃取活动已被证实与 INC 和 Lynx 勒索软件行动有关,这表明窃取的 Fortinet 凭证旨在为未来的网络入侵提供动力。

本月早些时候,研究人员发现一个包含从超过 73,000 台 Fortinet 设备窃取的凭证的服务器暴露在互联网上。研究发现,该服务器包含下载的 FortiGate 配置文件、从受损设备收集的凭证,以及用于破解密码哈希和执行凭证填充攻击的基础设施。

由于暴露的凭证数量庞大且窃取操作规模巨大,该活动被命名为“FortiBleed”。

SOCRadar 的后续调查揭示,该行动在受感染的 FortiGate 防火墙上使用了一种名为“FortiGate Sniffer”的自定义数据包嗅探工具,使攻击者能够直接从网络流量中拦截 VPN 凭证和其他身份验证数据。

SOCRadar 威胁研究单元(STRU)的最新研究现在将凭证窃取行动直接与 INC 和 Lynx 勒索软件即服务(RaaS)组织的成员联系起来。

研究人员告诉 BleepingComputer,他们在识别出作为 FortiBleed 基础设施一部分的一台 Windows 服务器后发现了这一联系。

“我们的威胁研究人员识别出一台属于 FortiBleed 基础设施的 Windows 服务器,这进一步揭示了威胁行为者的作案手法,”SOCRadar 告诉 BleepingComputer。

“在对该服务器的调查过程中,对收集到的 artifacts 的分析显示,威胁行为者曾访问过 Lynx / INC 勒索软件集团的勒索谈判面板。”

SOCRadar 向 BleepingComputer 分享了截图,显示了访问这两个勒索软件集团管理面板的浏览器会话。图片显示了包含勒索谈判期间使用的受害者聊天的谈判仪表板。

据研究人员称,这提供了直接证据,证明有权访问 FortiBleed 基础设施的个人也参与了勒索软件集团的谈判平台。

该公司还表示,除了最初与该活动相关的服务器外,他们还识别出 200 多台额外的运营服务器,发现了在 FortiBleed 期间收集的受害者信息与后来列在 INC 勒索软件泄露网站上的组织重叠,并发现了表明该行动由大约 20 名具有明确角色的成员组成的证据。

SOCRadar 还表示,该活动的规模比最初理解的要大得多。

据研究人员称,该行动 targeting 了全球超过 430,000 台 FortiGate 防火墙,并在大约 19,000 台设备上部署了流量嗅探器。

在通知受影响组织后,受损设备的数量已降至约 11,000 台。研究人员还表示,他们识别出该行动使用的约 500 台服务器。

研究人员还认为,攻击者利用了一个此前未公开的 Nextcloud 零日漏洞,作为其在初始入侵后扩大访问权限的一部分。然而,技术细节尚未公布。

SOCRadar 还告诉 BleepingComputer,他们在受损系统上发现了使用用户名“adminin”的持久性后门账户,并正在继续 efforts 以恢复勒索软件解密密钥。

INC Ransom 自 2023 年年中以来一直作为勒索软件即服务平台运营, targeting 全球医疗、教育、政府和其他行业的组织。

Lynx 于 2024 年年中出现,安全研究人员认为它是 INC 勒索软件团伙的重品牌,而非一个新的勒索团伙。

SOCRadar 表示,一旦调查完成,将发布第二份技术白皮书,其中包含失陷指标、归因证据和额外的技术分析。

END

阅读推荐

【安全圈】Claude被曝暗检中国用户

【安全圈】幻影抢注利用 AI 幻觉域名进行钓鱼和恶意软件攻击

【安全圈】恶意 PyPI 包让黑客控制 Telegram 机器人服务器

【安全圈】AI插件藏后门?小心!

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

D


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈 《【安全圈】FortiBleed 凭证窃取活动与 Lynx 勒索软件有关联》

评论:0   参与:  0