43万台FortiGate设备因FortiBleed勒索软件链接而暴露

admin 2026-07-05 06:21:57 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Socradar威胁研究团队将FortiBleed大规模凭证窃取活动与IncRansom和Lynx两个勒索软件组织直接关联,攻击者利用FortiGateSniffer工具从超43万台FortiGate防火墙中窃取凭证,并已对至少354个组织完成从入侵到域控获取的全链条攻击,其中12次攻击已确认部署勒索软件。研究显示该运营团队约20人,结构严密,操作员同时管理勒索软件谈判面板,证实了凭证窃取与勒索攻击的直接关联。 综合评分: 85 文章分类: 漏洞分析,威胁情报,恶意软件,勒索软件,应急响应


cover_image

43万台FortiGate设备因FortiBleed勒索软件链接而暴露

鹏鹏同学 鹏鹏同学

黑猫安全

2026年7月3日 08:45 湖北

在小说阅读器读本章

去阅读

SOCRadar威胁研究团队将FortiBleed(一场大规模凭证窃取活动,已入侵全球超过43万台FortiGate防火墙)直接关联到两个活跃的勒索软件运营组织:INC Ransom和Lynx。这一关联并非间接推测。研究团队发现,一名能够访问FortiBleed自身基础设施的操作员,当时正同时登录两个勒索软件组织的谈判面板,实时处理赎金要求。

自SOCRadar发布首份报告以来,FortiBleed已被持续追踪。该活动使用一款名为 FortigateSniffer 的自定义工具(用Go语言编写),通过滥用FortiOS内置的数据包诊断命令,在多达二十余种协议中被动拦截身份验证流量。

攻击者从不向防火墙发送恶意负载,只是监听设备自身产生的流量。这是一种安静且大规模收集凭证的手段,已覆盖超过150个国家。

在最初披露之后,SOCRadar继续利用Shodan、Censys、Validin以及自有扫描能力对该活动进行测绘。这项工作在原始数据集之外又发现了大约200台额外运营服务器,其中包括第一轮调查中未曾出现的凭证嗅探器和网络扫描器。正如SOCRadar报告所述:

“在扩展的基础设施中,STRU(SOCRadar威胁研究团队)追踪到针对约 11,250个 FortiGate门户的扫描活动,覆盖超过150个国家,其中 409个 目标已确认获得管理员级别访问权限。”SOCRadar发布的报告写道,“在这409个目标中,攻击者在 354个 目标上完成了完整攻击链:入侵VPN、访问域控制器、获取域管理员权限。STRU已确认至少有 12次 勒索软件部署源自此访问途径,受影响的组织中已有数百个端点被加密。”

这不再是存放在数据库中待售的凭证窃取行为,而是攻击者通过防火墙自身,悄无声息地获取了对数百家组织的域级控制权。SOCRadar已确认至少12次勒索软件部署可直接追溯到FortiBleed获取的访问权限,受影响组织内数百个端点已被加密。

在新发现的一台服务器中,SOCRadar得以窥见该组织内部的运营环境。该组织在管理其基础设施时出现了一次操作安全疏漏,导致内部文件、日志和操作文档暴露。正是这一点,使得勒索软件关联得以确凿证实,而不仅仅是推测。

在该环境中,SOCRadar发现一名操作员同时登录了 INC Ransom 和 Lynx 的谈判面板。

INC Ransom 自2023年中活跃至今,按受害组织数量计算,仍是较为活跃的勒索软件即服务(RaaS)运营方之一。INC Ransom已声称对数十家组织的入侵事件负责,其中包括美国临终关怀药房Xerox Corp、OnePoint Patient Care以及苏格兰国家医疗服务体系(NHS)。Lynx 大约晚一年出现,业内普遍认为它是INC的直接演变版本。一个操作员、两个品牌,且基础设施可追溯至同一凭证窃取活动——归因链条清晰直接。

SOCRadar还发现了一个独立存在的、与INC Ransom相关的开放目录,并将其内容与FortiBleed自身的目标记录进行了对比。两者中的受害者信息一致。

“将FortiBleed自身基础设施中的目标和受害者数据,与一个独立发现的INC关联开放目录进行对比,STRU发现两个数据集中存在匹配的受害者——这独立证实了同一批组织同时被凭证窃取活动和勒索软件组织追踪。”SOCRadar表示。

SOCRadar还恢复了一份该组织用于管理FortiGate目标的内部追踪文档,其中记录了使用了哪些凭证、访问了哪些网络,以及是否最终部署了勒索软件。对该文档的分析表明,这是一个结构化的运营团队,大约有 20人。核心层由少数主要操作员负责高影响力入侵;其下设有专业技术人员;再下层是初级操作员和技术支持人员组成的后台团队。其运作方式宛如一家小型公司,分工明确,放在任何组织架构图上都不显突兀(只不过其“产品”是勒索软件)。

SOCRadar暂不公开具体的操作员别名、工具细节以及完整的威胁指标集(IoC),直至完整技术白皮书发布。该白皮书还将涵盖另一条独立调查线索,涉及该组织使用AI工具进行漏洞研究的情况,包括至少一个尚未公开的零日漏洞,SOCRadar正通过负责任披露流程与受影响厂商进行协调。

实际影响非常直接:

这场活动并非某个访问代理中间商,通过地下市场悄悄变现窃取的凭证,而与实际攻击保持距离。相反,同一套收集凭证的基础设施,通过一名共享操作员,直接关联到目前在受害网络中部署勒索软件的两个活跃勒索组织。

“同一个访问代理基础设施——它曾悄无声息地拦截了数十万台防火墙的身份验证流量——通过一名共享操作员,与当今两个最活跃的勒索软件品牌存在关联。”报告总结道,“对于运行FortiGate基础设施的组织而言,这使本已紧迫的安全发现更添一层严峻性:暴露于FortiBleed不仅仅是凭证泄露风险,更是勒索软件攻击的潜在前兆。”

如果你的组织运行FortiGate基础设施,问题不再是“你的凭证是否被瞄准”。鉴于涉及43万台防火墙且扫描活动覆盖150个国家,更关键的问题是:你的环境是否出现在那409个已确认管理员权限的目标中?或者更糟,是否在那354个已实现完整域控入侵的目标中?


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《43万台FortiGate设备因FortiBleed勒索软件链接而暴露》

DDoS攻击趋势与防御演进 网络安全文章

DDoS攻击趋势与防御演进

文章总结: 文档标题为DDoS攻击趋势与防御演进,但正文仅包含图片和文件下载链接,无具体文字内容,无法提取核心要点。 综合评分: 0 文章分类: 网络安全,解决
工具|ADPulse 网络安全文章

工具|ADPulse

文章总结: ADPulse是一款开源只读轻量级AD安全扫描器,提供35项安全检查、风险评分系统及三种报告格式,支持极低权限要求和Pass-the-Hash。项目
评论:0   参与:  0