
FortiBleed关联INC与Lynx勒索行动
SOCRadar称,FortiBleed 大规模 FortiGate 凭证窃取活动已与 INC 和 Lynx 勒索软件行动关联,已确认的管理员访问被用于后续入侵。与此同时,eSentire 还观察到攻击者利用 FortiClient EMS 漏洞部署 EKZ Stealer。建议尽快排查暴露设备、更新补丁并监控可疑登录与流量。
近期发现、以牟利为目的的 FortiBleed 行动已被归因于 INC 和 Lynx 勒索软件行动,这表明经验证、被盗取的凭证原本是用于后续入侵。
SOCRadar 在周三发布的一份新报告中表示:“一名与 FortiBleed 基础设施相关联的操作者,被发现正在为这两个团伙积极操作谈判面板,这也是首次将大规模 FortiGate 凭证窃取与勒索软件部署直接联系起来。”
该公司称,其追踪到针对 150 多个国家、约 11,250 个 FortiGate 门户的扫描活动,随后在 409 个目标上确认获得管理员级访问,并在其中 354 个目标上成功完成完整攻击链。总计至少有 12 次勒索软件部署是由这些访问导致的,影响组织内数百台终端被加密。
这起大规模凭证收集行动最早在上个月曝光,攻击者系统性扫描互联网中暴露的 Fortinet 设备,尝试使用已知凭证组合突破,并随后部署自定义 packet sniffer,被动收集网络流量中的凭证和其他认证数据。
该行动被评估针对了全球 430,000 台 FortiGate 防火墙,并在过程中收集了超过 1.1 亿组凭证。此次活动之所以暴露,是因为攻击者在操作安全上出现失误,导致一台存放从数千台 Fortinet 设备窃取凭证的服务器暴露在互联网上。
据估计,这款 Golang sniffer 被安装在约 12,000 台 Fortinet 设备上,这只是其被攻击网络设备总数的一部分。
SOCRadar 的最新发现显示,一名能够访问 FortiBleed 基础设施的操作者被发现登录了 INC Ransom 和 Lynx 的谈判面板,且 INC Ransom 列出的受害者与该行动中的数据存在重叠。这些关联基于与 FortiBleed 基础设施相关的 200 台新发现服务器之一,这些服务器提供了对内部文件、日志和运营文档的可见性。
工具、日志以及工作时间表明,这一活动是俄语威胁行为者所为,其很可能扮演初始访问经纪人(initial access broker)的角色。大部分目标集中在拉丁美洲和亚太地区的制造、科技和物流行业。
SOCRadar 还表示,其发现了一份内部文档,显示这是一个由大约 20 人组成、分工明确的有组织行动。“少数核心主导操作者推动了大部分高影响力入侵,并由专门人员和支持人员提供支援,”该公司补充说。
此外,攻击者被认为至少掌握了 Nextcloud 的一个零日漏洞。这家威胁情报公司表示,正在与受影响的厂商积极协调。
这一披露之际,eSentire 表示,其观察到攻击者正利用 Fortinet FortiClient EMS 中的一个漏洞(CVE-2026-35616,CVSS 评分:9.1)向能源、公用事业和废弃物行业的一家客户部署名为 EKZ Stealer 的信息窃取器,最终目的是从基于 Chromium 的浏览器和 Firefox 中收集凭证,并通过 PowerShell 将其外传。