FortiBleed 凭证窃取活动被指与 Lynx 勒索软件存在关联

导语:大规模 FortiBleed 凭证窃取活动已与 INC 和 Lynx 勒索软件即服务(RaaS)组织建立关联,表明被盗的 Fortinet 凭证可能被用于未来进一步的网络入侵。
大规模 FortiBleed 凭证窃取活动已与 INC 和 Lynx 勒索软件即服务(RaaS)组织建立关联,表明被盗的 Fortinet 凭证可能被用于未来进一步的网络入侵。
本月早些时候,一个包含超过 73,000 台 Fortinet 设备被盗凭证的服务器被发现暴露在互联网上。研究人员发现,该服务器内含有从受感染设备下载的 FortiGate 配置文件、从受感染设备收集的凭证,以及用于破解密码哈希和执行凭证填充攻击的基础设施。
由于泄露凭证数量庞大且涉及大规模凭证窃取行动,该活动被命名为 “FortiBleed”(FortiGate 与 bleed 的合成词)。
SOCRadar 后续的调查显示,该行动在受感染的 FortiGate 防火墙上使用了一款名为 “FortiGate Sniffer” 的定制数据包嗅探工具,使攻击者能够直接从网络流量中截获 VPN 凭证及其他身份验证数据。
SOCRadar 威胁研究部门(STRU)最新的研究现在将这一凭证窃取行动直接与 INC 和 Lynx 勒索软件即服务(RaaS)团伙的成员联系起来。
研究人员告诉 BleepingComputer,他们是在识别出作为 FortiBleed 基础设施一部分的一台 Windows 服务器之后,才发现了这一关联。SOCRadar 对 BleepingComputer 表示:”我们的威胁研究人员识别出一台属于 FortiBleed 基础设施的 Windows 服务器,该服务器进一步揭示了威胁行为者的作案手法。” “在对该服务器进行调查的过程中,对所收集工件的分析显示,威胁行为者曾访问过 Lynx / INC 勒索软件团伙的勒索软件谈判面板。”
SOCRadar 与 BleepingComputer 分享了截图,显示有浏览器会话曾访问这两个勒索软件团伙的管理面板。图像中显示了含有勒索软件谈判期间与受害者聊天记录的谈判仪表盘。
研究人员指出,这提供了直接证据,证明一名能够访问 FortiBleed 基础设施的个体同时也参与了这些勒索软件团伙的谈判平台。
来源信息
来源:BleepingComputer
作者:Lawrence Abrams

