文章总结: SOCRadar威胁研究团队披露俄罗斯FortiBleed行动已入侵43万台FortiGate设备,窃取1.1亿组凭证。攻击采用五阶段链:通过端口扫描筛选目标、SSH暴力破解初始入侵、滥用合法诊断命令被动捕获24种协议认证流量。66%受害者为中小企业,防护建议包括立即轮换凭证、启用多因素认证及隔离管理接口。 综合评分: 85 文章分类: 威胁情报,漏洞分析,恶意软件,安全运营,解决方案
俄罗斯FortiBleed行动窃取1.1亿凭证,43万台设备沦陷
FreeBuf
2026年6月23日 20:00 上海
在小说阅读器读本章
去阅读
Part01
攻击概况
FortiBleed行动已针对43万台以上FortiGate设备发起攻击,窃取1.1亿组凭证,通过大规模凭证窃取实施入侵。SOCRadar威胁研究团队(STRU)发布的最新威胁情报报告首次完整揭露了这场可能成为2026年最具破坏性的凭证窃取行动。该团队是最早发现并命名FortiBleed行动的研究组织。
Part02
行动技术剖析
攻击链五阶段全还原
报告技术细节完整呈现了攻击全流程:
-
侦察阶段:攻击者使用Masscan进行端口扫描,配合定制化Shodan_Recon工具进行被动信息收集,并通过专用FortiProbe-fast二进制程序从上百万扫描结果中筛选确认的FortiGate设备。
-
目标筛选:根据企业营收对目标分级,体现精确运营规划而非随机攻击。
-
初始入侵:通过16个针对FortiGate管理员账户命名规范定制的字典进行SSH暴力破解,同时针对SSL-VPN门户实施凭证填充攻击。
-
核心窃密:使用基于Golang的FortigateSniffer工具,滥用合法FortiOS诊断命令diagnose sniffer packet被动捕获24种协议认证流量(包括Kerberos、RADIUS、NTLM等),全程无需部署恶意软件。
-
横向移动:在至少一起已确认案例中,攻击者在离线破解Kerberos哈希数分钟后,即从北约盟国防务承包商处定向窃取DFS备份数据。
基础设施架构
攻击者使用东欧松散监管的微型主机服务商网络,核心基础设施划分为四个功能子网:C2聚合、凭证验证、嗅探器部署和代理轮换。测试环境运行7台QEMU/KVM架构的Kali Linux虚拟机,配置严格IPTables规则,支持多操作员通过共享tmux会话远程访问。
Part03
攻击特征与归因
- 工具特征:西里尔字母注释指向俄罗斯背景
- 攻击模式:符合向勒索软件团伙出售初始访问权限的中间商特征,但针对北约盟国防务承包商的行为暗示可能存在国家背景行为体的机会性合作
- 受害者分布:66%为员工不足200人的中小企业,90%年营收低于1亿美元。印度、美国和台湾地区受影响域名占比近1/3,IT服务行业为主要目标
Part04
防护建议
STRU建议相关组织立即:
- 轮换所有Fortinet VPN及管理接口凭证
- 强制启用多因素认证
- 将FortiGate管理接口与互联网隔离
- 审查认证日志异常活动
SOCRadar已发布免费检测工具:socradar.io/free-tools/fortibleed。完整技术报告(含MITRE ATT&CK映射、IoC列表)详见socradar.io。该攻击活动仍在持续进行。
参考来源:
FortiBleed: The Most Detailed Breakdown Yet of an Active Russian Credential-Harvesting Operation
FortiBleed: The Most Detailed Breakdown Yet of an Active Russian Credential-Harvesting Operation
推荐阅读
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
电报讨论
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《俄罗斯FortiBleed行动窃取1.1亿凭证,43万台设备沦陷》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论