FortiBleed 在 1.1 亿凭证窃取行动中针对 FortiGate 防火墙
- 浏览次数 108
- 喜欢 0
一个以经济利益为驱动的俄语初始访问经纪人(IAB)被评估为名为 FortiBleed 的大规模凭证窃取行动的幕后黑手,该行动已针对全球超过 43 万台 FortiGate 防火墙。
该活动自 2026 年 2 月以来一直活跃,涉及收集凭证列表、搜索暴露的服务、暴力破解可访问的系统,以及在受感染的防火墙上部署定制嗅探器。
SOCRadar 在一份新报告中表示:“一旦部署,这些嗅探器会从流经受感染设备的流量中捕获明文和哈希凭证。然后,行为者针对 Active Directory 域和其他暴露的服务破解、验证和重用这些凭证。”
该行动的核心是一个名为 FortigateSniffer 的基于 Golang 的工具,它利用 FortiOS 内置的诊断命令 diagnose sniffer packet 被动捕获来自受感染设备的身份验证流量。该工具同时提供 Windows 和 Unix 版本,旨在监控 24 种协议的流量、解析身份验证数据并提取凭证。
据推测,威胁行为者可能寻求了一个名为 CyberStrike 的开源 AI 原生进攻性安全平台的帮助,以协助“工作流程的某些部分”。有趣的是,另一个名为 CyberStrikeAI 的开源框架被用于另一次针对 FortiGate 设备的自动大规模扫描活动,该活动由 Amazon Threat Intelligence 今年早些时候曝光。
SOCRadar 解释道:“该活动显示出对员工少于 200 人的中小企业(SMB)的高度关注。行为者针对多个行业和地区,尤其侧重于美国和印度。IT 服务行业似乎是一个关键目标。这种目标选择可能有助于行为者最大化下游访问,因为受损的服务提供商可以创建进入客户环境的访问路径。”
也许最有趣的发现是 FortiBleed 似乎是一个更广泛的、多供应商初始访问行动的一部分,该行动自 2026 年 2 月 28 日以来不仅针对 Fortinet 设备,还通过自动暴力破解入侵 Synology NAS、Sophos 防火墙、RDWeb 门户、Citrix SSL-VPN 和 MS-SQL 服务器。
总体而言,攻击者估计在 2026 年 5 月 31 日至 6 月 15 日期间启动了不少于 659 条凭证窃取管道,导致识别出超过 1.1 亿个凭证。其中包括:
- 1480 万个 RADIUS 凭证
- 92.4 万个 NTLM 哈希
- 13 万个 Kerberos 哈希
- 8900 万个 MySQL 身份验证令牌
FortiBleed 活动分五个阶段进行:
- 使用 Masscan 和 Shodan 等工具进行广泛侦察,以识别易受攻击的面向互联网的 FortiGate 防火墙,然后使用名为 FortiProbe-fast 的自定义实用程序和 GeoSplit 分别过滤 FortiGate 系统并按国家分组。
- 使用名为 "forticheck" 的凭证检查器入侵设备,该检查器专门针对 FortiGate 的管理面板和 SSL-VPN 门户,同时使用工具通过凭证填充和字典攻击获取管理 SSH 访问权限。
- 通过 SSH 建立访问后,部署 FortigateSniffer 以使用原生 FortiOS 诊断命令被动拦截 24 种协议(例如 TACACS+、Kerberos、RPC、SMB、LDAP、SMTP、FTP、Telnet、RDP、WinRM、MS-SQL、MySQL、PostgreSQL 和 RADIUS)的身份验证流量,从而能够窃取明文凭证和密码哈希。
- 使用 Hashmat 和 Hashtopolis 破解密码哈希,并由名为 HASHBOT 的 Telegram 机器人协调,之后用于横向移动、Active Directory 枚举、Kerberos 验证和 SMB 身份验证。
- 从网络共享中窃取敏感数据,同时使用被盗的会话 cookie 维持持久的、经过身份验证的访问。
SOCRadar 表示:“该组织并非平等对待所有目标。相反,在分配利用资源之前,目标会根据经济价值进行排名。”
此外,嗅探机制包括一个地理围栏过滤器,将操作限制在特定 IP 范围内,更不用说将活动限制在莫斯科时间上午 7 点至下午 6 点之间。根据 SpyCloud 分享的事件时间线,FortiGate 相关的捕获周期据称始于 2026 年 5 月 19 日,哈希破解基础设施于月底建立。
ZenoX 表示:“该操作以 300 分钟(5 小时)为周期运行,每分钟更新状态。在每个周期中,它加载一个区域目标列表……并使用 1000 个并发线程进行验证,显示成功、失败、超时和警告的计数器。在最初的几个周期中,成功验证率徘徊在 90% 附近。”
这家巴西网络安全公司还表示,发现某些用户名和密码对在数千个不同的 IP 地址上重复出现,这增加了这些账户可能是攻击者作为秘密后门入口点植入的可能性。
ZenoX 联合创始人兼威胁情报主管 Acassio Silva 告诉 The Hacker News:“频率计数是通过聚合行为者自己的已验证凭证文件 all_valid.txt 中的 username:password 列产生的,该文件是一个以设备为键的清单,格式为 IP:PORT:USERNAME:PASSWORD(每个防火墙一条记录,共 21,976 条记录)。”
“相同的配对也出现在行为者的输入目标列表 EU.txt(他们的 Go 扫描器每个周期重新加载和重新验证的文件,也是 IP:PORT:USER:PASS 格式)以及下游衍生文件(valid_.txt、matched_targets、corps.txt、targets_300M_plus.txt 和 loot JSON)中。在 all_valid.txt 中,adminin:ITAdmin@888 出现在 3,947 个不同的设备上;仅在 EU 批次(EU.txt,6,175 条记录)中,相同的配对出现在 1,562 个设备上。”
这些配对可能是植入账户而非原始凭证的评估基于三个因素:相同的凭证用于验证数千个不相关的组织、某些凭证来源中缺少密码("top200_fortigate.txt"),以及用户名模仿合法的 Fortinet/FortiCloud 服务,很可能是为了融入目标环境。
与此同时,一个名为 "SantaAd" 的俄语账户以 30,000 美元的起价宣传对数千台 Fortinet 设备的访问权限,数小时后将价格提高到 60,000 美元。然而,目前尚不清楚这是否与 FortiBleed 泄露事件有关。
SpyCloud 表示:“'FortiBleed' 背后的威胁行为者组织不仅仅针对 FortiGate VPN。他们实际上是在针对一系列不同的面向互联网的设备,采用标准的‘喷洒并祈祷’攻击链,主要依赖于大规模扫描和暴力破解登录。”
Arctic Wolf 在一份后续报告中将 FortiBleed 描述为一项活动,使用了“利用凭证填充、密码喷洒、配置窃取、离线破解和身份验证后捕获处理的凭证管道”,并补充说“FortiGate 访问变成了多协议凭证提取、哈希破解、VPN 绑定的 AD/SMB 访问和文件共享窃取。”
这些攻击的一个重要特点是它们不利用任何新的零日漏洞,Fortinet 指出威胁行为者可能正在重用先前事件中的凭证,以及暴力破解密码较弱的设备上未启用多因素身份验证(MFA)的密码。
Arctic Wolf 表示:“其定义特征是凭证反馈循环:成功的边界访问会产生配置或流量工件;这些工件产生更多凭证和可破解的哈希。破解的凭证为 VPN、Kerberos、SMB 和共享访问验证提供支持,而验证后的访问则支持进一步的收集和窃取。”
该活动还涉及从面向互联网的 FortiGate 设备导出配置文件并破解存储的凭证哈希,同时使用名为 "harvest_orig" 的自定义信息提取套件,将被动网络捕获转化为“可操作的凭证、可破解的哈希、Web 会话、身份情报和下游攻击输入。”
这个基于 Go 的 ELF 二进制文件,自标识为 CyberStrike Harvester v1.5,包含读取 pcap、pcapng 和 FortiGate 文本输入的功能,以及用于处理与二十多种协议相关的 cookie、会话和令牌的解析器和格式化函数。
Arctic Wolf 补充道:“破解层是精心设计的,而非临时拼凑。一个 Telegram 机器人接受哈希输入,通过 Telegram 用户名限制访问,检测哈希模式,请求上下文提示,调度作业,分配 GPU,启动多阶段 Hashcat 工作流,监控 ETA 和进度,并返回破解结果。”
“Hashcat 模式包括 NetNTLMv2、FortiGate256、RAKP、MS-SQL 和多种 Kerberos 格式。Hashtopolis 和自定义 HashPanel 提供额外的分布式破解管理,而设置脚本则准备 GPU 工作节点和代理注册。”
在恢复的凭证能够实现访问的场景中,攻击者被发现利用经过身份验证的 SSL-VPN 隧道运行 Impacket 工具,用于 Active Directory 枚举、Kerberos 验证、SMB 身份验证、管理员共享检查、SMB 共享爬取以及 DFS/SMB 收集。
建议受影响的组织轮换凭证、使会话失效、审计配置导出、审查 SSL-VPN 登录、检查来自 VPN 池的 AD 和 SMB 活动、扫描出站 SSH 传输模式,并审查 SMB 共享访问日志以查找批量递归读取。
该公司补充道:“FortiBleed 展示了暴露的边界凭证如何变成完整的内部网络暴露。最重要的发现是围绕工作流程的工程规范。操作者实验室、嗅探器面板、CyberStrike Harvester、清理脚本、Hashcat/Hashtopolis 基础设施、Kerberos QA 工具、域/文件夹/收入丰富化以及 SMB/DFS 工具形成了一个可重复的系统。”
CloudSEK 称该活动为“不分青红皂白的互联网范围扫描”,并表示威胁行为者设计的工具链为远程访问目标提供了一个按收入排序的目录,很可能在地下市场上出售。“该目录还包含至少一个指向受害者网络的实时 SSL VPN 配置文件,确认操作者持有可用的、活跃的访问权限,而不仅仅是一串破解的密码。”