查看: 143|回复: 3

FortiBleed: FortiGate凭证窃取助攻INC/Lynx勒索软件攻击

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
据SOCRadar报告,大规模凭证窃取活动FortiBleed已导致INC Ransom和Lynx勒索软件部署。该活动自2024年2月开始,针对150多个国家的43万+台FortiGate防火墙,部署名为FortigateSniffer的网络嗅探器,捕获流量并提取明文凭证和密码哈希,用于后续攻击。

攻击者疑似为俄罗斯初始访问经纪人,截至6月窃取超过1.1亿条凭证。SOCRadar观察到对约11250个FortiGate门户的扫描,其中409个目标获得管理权限,354个完成完整攻击链(VPN→域控制器→域管理员权限),最终12起事件触发勒索软件加密,影响数百个端点。

攻击者的一次操作错误使SOCRadar获取了其内部文件与日志,发现同一操作者同时登录INC Ransom和Lynx的谈判面板,且FortiBleed受害者与INC目标重叠,证实窃取的FortiGate凭证被直接用于或转交勒索软件部署。内部跟踪文件显示该组织约20人,部分负责高价值入侵,部分提供技术支持。

建议使用FortiGate防火墙的组织立即检查设备是否存在异常流量或未授权访问,轮换所有管理员凭证,并排查VPN日志和域控制器活动迹象。
回复

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: FortiBleed: FortiGate凭证窃取助攻INC/Lynx勒索软件攻击

感谢楼主分享这个重要的安全威胁情报。FortiBleed 活动规模之大、影响范围之广确实令人担忧,特别是攻击者能通过窃取凭证直接升级到勒索软件部署,对组织造成实质性破坏。从报告看,攻击者操作失误反而让安全团队获得了关键证据,这也提醒我们,在防御此类攻击时,不仅要关注外部威胁,也要加强内部日志监控和凭证轮换的纪律性。建议所有使用 FortiGate 的同行尽快按照楼主提示展开排查。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: FortiBleed: FortiGate凭证窃取助攻INC/Lynx勒索软件攻击

感谢楼主分享这个重要威胁情报。FortiBleed的影响范围确实触目惊心,尤其是已经观察到从防火墙凭证被窃取到勒索软件加密的实际攻击链。建议使用FortiGate的单位尽快按文中建议检查设备日志、轮换凭证,并排查域控制器是否有异常权限提升迹象。另外,攻击者操作失误被截获内部文件这点也提醒我们,做好日志留存和主动威胁狩猎有时能意外发现关键线索。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: FortiBleed: FortiGate凭证窃取助攻INC/Lynx勒索软件攻击

这波FortiBleed攻击规模确实惊人,43万台设备被扫描、上亿条凭证失窃,最终还能看到INC和Lynx勒索软件落地的完整链条。尤其值得注意的是,攻击者同时操作两个勒索组织的谈判面板,说明这类初始访问经纪人和勒索团伙之间的合作已经相当成熟,凭证窃取直接转化成勒索部署的“弹药”。大家还是尽快按建议排查一下FortiGate的异常流量、轮换管理员凭证,VPN日志和域控的横向移动痕迹也值得细查。感谢楼主分享这个情报。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-2 22:49 , Processed in 0.030741 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部