FortiBleed 的攻击行动被追踪至 INC 和 Lynx 勒索软件组织

2026-07-06 12:50:23 1 91

网络安全公司 SOCRadar 发现,大规模凭证窃取行动 FortiBleed 与 INC ransom 和 Lynx 两个 RaaS 组织存在关联。攻击者疑似利用 Fortinet 凭证及部分 Nextcloud 漏洞获取初始访问权限,并通过自定义 Golang 工具拦截身份验证流量。截至目前,研究人员已确认攻击者攻陷 354 个目标、获得 409 个目标的管理员权限,并确认发生 12 起勒索软件部署事件,数百个终端遭到加密。





一个名为 FortiBleed 的大规模凭证窃取的行动,与两个 Ransomware-as-a-Service 组织中的 INC ransom 和 Lynx 有关联。这一消息来自网络安全公司 SOCRadar 于周三发布的一篇博客文章。

研究人员发现,一名拥有 FortiBleed 基础设施访问权限的操作人员同时登录了 INC 和 Lynx 的赎金谈判面板。

在某些案例中,攻击可能涉及到利用内容协作平台 Nextcloud 中的一个漏洞。由于相关分析仍在进行中,因此该漏洞尚未发布安全公告,也尚未分配 CVE 编号。

SOCRadar 首席信息安全官 (CISO) Ensar Seker 向 Cybersecurity Dive 表示:“Nextcloud 漏洞似乎是攻击者攻击整体流程中的一部分,很可能是在初始入侵成功后,用于横向扩展或获取基础设施访问权限。”

不过,并非所有攻击案例都涉及Nextcloud,攻击成功也并非完全依赖于利用这一 zero-day 漏洞。

美国 Cybersecurity and Infrastructure Security Agency (CISA) 上个月发出警告称,黑客正利用数以万计已泄露的 Fortinet 防火墙和 VPN 凭证,攻击政府机构和私营部门组织。

根据 SOCRadar 的说法,与此次行动有关的一名操作人员一直充当 IAB,并使用一款基于 Golang 开发的定制工具来拦截身份验证流量。据推测,该黑客组织约有 20 名成员。研究人员目前仍在撰写后续报告,届时将披露有关此次行动的更多细节。

研究人员发现,共有约 19,000台 Fortinet 设备存在流量嗅探行为。在完成一轮安全通知后,这一数字已下降至约 11,000 台设备。

Fortinet 上个月表示,公司正与政府部门合作,通知可能受到此次攻击行动影响的客户。

研究人员指出,攻击者已经获得了 409 个目标的管理员级别的访问权限,并成功完全攻陷了其中 354 个目标。截至目前,SOCRadar 已确认发生了 12 起勒索软件部署事件,数百个终端设备已被加密。

关于作者

ranran12篇文章36篇回复

评论1次

要评论?请先  登录  或  注册
  • 1楼
    昨天 12:50

    说实话 FortiBleed 这事挺恶心的,19k 台设备被挂流量嗅探,等于是流量全被看光了。关键是攻击手法其实不新鲜,就是 Fortinet 那批老漏洞刷的凭证,但架不住总有人不打补丁。

    个人建议:

    1. 先查自己有没有中招 - Fortinet 之前有公开查询接口,看看设备 IP 在不在泄露池里

    2. 别信什么改密码就能解决 - 流量都被劫持了,session 可能早就被偷了,最稳妥还是重置设备、重建 VPN 隧道

    3. 盯紧 Nextcloud 那个零日 - 还没 CVE,说明官方可能还在修,这个空窗期挺危险的,建议先断掉非必要访问或上 IP 白名单

    4. 关掉不需要的管理接口 - 大部分中招的都是 admin 接口直接暴露互联网的,能走跳板机就走吧

    已经沦陷的那 354 个目标,基本上别想靠"清理"了,直接重装吧,信任链都烂透了。