HackerNews

HackerNews
FortiBleed 凭证窃取活动与 Lynx 勒索软件有关联

FortiBleed 凭证窃取活动与 Lynx 勒索软件有关联

给文章评分:

大规模的 FortiBleed 凭证窃取活动已被证实与 INC 和 Lynx 勒索软件行动有关,这表明窃取的 Fortinet 凭证旨在为未来的网络入侵提供动力。
本月早些时候,研究人员发现一个包含从超过 73,000 台 Fortinet 设备窃取的凭证的服务器暴露在互联网上。研究发现,该服务器包含下载的 FortiGate 配置文件、从受损设备收集的凭证,以及用于破解密码哈希和执行凭证填充攻击的基础设施。
由于暴露的凭证数量庞大且窃取操作规模巨大,该活动被命名为“FortiBleed”。
SOCRadar 的后续调查揭示,该行动在受感染的 FortiGate 防火墙上使用了一种名为“FortiGate Sniffer”的自定义数据包嗅探工具,使攻击者能够直接从网络流量中拦截 VPN 凭证和其他身份验证数据。
SOCRadar 威胁研究单元(STRU)的最新研究现在将凭证窃取行动直接与 INC 和 Lynx 勒索软件即服务(RaaS)组织的成员联系起来。
研究人员告诉 BleepingComputer,他们在识别出作为 FortiBleed 基础设施一部分的一台 Windows 服务器后发现了这一联系。
“我们的威胁研究人员识别出一台属于 FortiBleed 基础设施的 Windows 服务器,这进一步揭示了威胁行为者的作案手法,”SOCRadar 告诉 BleepingComputer。
“在对该服务器的调查过程中,对收集到的 artifacts 的分析显示,威胁行为者曾访问过 Lynx / INC 勒索软件集团的勒索谈判面板。”
SOCRadar 向 BleepingComputer 分享了截图,显示了访问这两个勒索软件集团管理面板的浏览器会话。图片显示了包含勒索谈判期间使用的受害者聊天的谈判仪表板。
据研究人员称,这提供了直接证据,证明有权访问 FortiBleed 基础设施的个人也参与了勒索软件集团的谈判平台。
该公司还表示,除了最初与该活动相关的服务器外,他们还识别出 200 多台额外的运营服务器,发现了在 FortiBleed 期间收集的受害者信息与后来列在 INC 勒索软件泄露网站上的组织重叠,并发现了表明该行动由大约 20 名具有明确角色的成员组成的证据。
SOCRadar 还表示,该活动的规模比最初理解的要大得多。
据研究人员称,该行动 targeting 了全球超过 430,000 台 FortiGate 防火墙,并在大约 19,000 台设备上部署了流量嗅探器。
在通知受影响组织后,受损设备的数量已降至约 11,000 台。研究人员还表示,他们识别出该行动使用的约 500 台服务器。
研究人员还认为,攻击者利用了一个此前未公开的 Nextcloud 零日漏洞,作为其在初始入侵后扩大访问权限的一部分。然而,技术细节尚未公布。
SOCRadar 还告诉 BleepingComputer,他们在受损系统上发现了使用用户名“adminin”的持久性后门账户,并正在继续 efforts 以恢复勒索软件解密密钥。
INC Ransom 自 2023 年年中以来一直作为勒索软件即服务平台运营, targeting 全球医疗、教育、政府和其他行业的组织。
Lynx 于 2024 年年中出现,安全研究人员认为它是 INC 勒索软件团伙的重品牌,而非一个新的勒索团伙。
SOCRadar 表示,一旦调查完成,将发布第二份技术白皮书,其中包含失陷指标、归因证据和额外的技术分析。


消息来源:bleepingcomputer.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介