FortiBleed Kampanyası: INC ve Lynx Fidye Yazılımı Operasyonlarına Uzanan Tehdit Siber Güvenlik

FortiBleed Kampanyası: INC ve Lynx Fidye Yazılımı Operasyonlarına Uzanan Tehdit

Siber güvenlik firması SOCRadar, FortiBleed adlı kampanyanın INC ve Lynx fidye yazılımı gruplarıyla bağlantılı olduğunu duyurdu.

Siber güvenlik firması SOCRadar, FortiBleed olarak adlandırılan büyük çaplı bir kimlik bilgisi avlama kampanyasının, INC ransom ve Lynx olarak izlenen iki fidye yazılımı-hizmet-olarak (RaaS) operasyonuyla bağlantılı olduğunu duyurdu. Araştırmacılar, FortiBleed altyapısına erişimi olan bir operatörün hem INC hem de Lynx'e ait pazarlık panellerine giriş yaptığını tespit etti.

Saldırıların bazı durumlarda Nextcloud adlı içerik işbirliği platformundaki bir güvenlik açığından yararlanılmış olabileceği belirtiliyor. Analizler devam ettiğinden henüz resmi bir uyarı veya CVE numarası yayımlanmadı. SOCRadar CISO'su Ensar Seker, 'Nextcloud sorunu, saldırganların daha geniş operasyonel iş akışının bir parçası olarak, muhtemelen ilk ihlalden sonra genişleme veya altyapı erişimi için kullanılmış gibi görünüyor' dedi.

Tüm vakalarda Nextcloud kullanılmadığı gibi, ihlal tamamen sıfır gün açığından yararlanmaya da bağlı değildi. Geçtiğimiz ay CISA, hackerların binlerce ele geçirilmiş Fortinet güvenlik duvarı ve VPN kimlik bilgisi kullanarak hem devlet hem de özel sektör kuruluşlarını hedef aldığı konusunda uyarıda bulunmuştu.

SOCRadar'a göre kampanyayla bağlantılı bir operatör, özel bir Golang tabanlı araç kullanarak kimlik doğrulama trafiğini dinleyen bir ilk erişim komisyoncusu olarak çalışıyor. Operasyonda yaklaşık 20 kişinin yer aldığı düşünülüyor. Araştırmacılar, 19.000 Fortinet cihazında trafik dinlemesi tespit etti; bildirimler sonrası bu sayı 11.000'e düştü. Şimdiye kadar 409 hedefe yönetici düzeyinde erişim sağlandığı, 354 hedefin tamamen ele geçirildiği ve 12 fidye yazılımı dağıtımının doğrulandığı bildirildi.

Paylaş: