Yakın zamanda keşfedilen finansal motivasyonlu FortiBleed kampanyası, INC ve Lynx fidye yazılımı operasyonlarına atfedildi; bu da doğrulanan, çalınan kimlik bilgilerinin daha sonraki izinsiz girişler için tasarlandığını gösteriyor.
SOCRadar Çarşamba günü yayınlanan yeni bir raporda, "FortiBleed'in altyapısına bağlı bir operatörün, her iki grup için aktif olarak çalışan müzakere panelleri tespit edildi ve toplu FortiGate kimlik bilgileri hırsızlığını ilk kez doğrudan fidye yazılımı dağıtımına bağladı." dedi.
Şirket, 150'den fazla ülkede yaklaşık 11.250 FortiGate portalına yönelik tarama faaliyetini takip ettiğini, ardından 409 hedefe yönetici düzeyinde erişimin onaylandığını ve bunların 354'ünde tam saldırı zincirinin başarıyla tamamlandığını söyledi. Toplamda en az 12 fidye yazılımı dağıtımı bu erişimden kaynaklandı ve etkilenen kuruluşlarda yüzlerce uç noktanın şifrelenmesine neden oldu.
Geçen ay ortaya çıkan büyük ölçekli kimlik bilgisi toplama operasyonu, tehdit aktörlerinin interneti açıktaki Fortinet cihazları için sistematik olarak taramasını, bilinen kimlik bilgisi kombinasyonlarını kullanarak bu cihazlara sızmaya çalışmasını ve ardından ağ trafiğinden kimlik bilgilerini ve diğer kimlik doğrulama verilerini pasif olarak toplamak için özel paket algılayıcıları yerleştirmesini içeriyordu.
Kampanyanın dünya çapında 430.000 FortiGate güvenlik duvarını hedeflediği ve süreçte 110 milyondan fazla kimlik bilgisi topladığı değerlendiriliyor. Etkinlik, saldırganların internette açığa çıkan binlerce Fortinet cihazından çalınan kimlik bilgilerini içeren bir sunucuyu bırakmasından kaynaklanan bir operasyonel güvenlik hatası sonrasında açığa çıktı.
Golang algılayıcının yaklaşık 12.000 Fortinet cihazına kurulduğu tahmin ediliyor, bu da onu hedeflenen toplam ağ donanımı sayısının bir alt kümesi haline getiriyor.
SOCRadar'ın en son bulguları, FortiBleed altyapısına erişimi olan bir operatörün hem INC Ransom hem de Lynx müzakere panellerinde oturum açmış halde bulunduğunu ve kurbanların INC Ransom tarafından listelendiğini ve kampanyadan elde edilen verilerle örtüştüğünü gösteriyor. Bağlantılar, dahili dosyalara, günlüklere ve operasyonel belgelere görünürlük sağlayan FortiBleed altyapısıyla ilişkili 200 yeni keşfedilen sunucudan birine dayanmaktadır.
Gelecekte Ne Bekleniyor?
SOCRadar'ın bilgi güvenliği sorumlusu Ensar Şeker, The Hacker News'e e-posta yoluyla, ifşa edilen sunucunun bir hazırlık aşaması ve operasyonel koordinasyon sunucusu olarak işlev gördüğünü ve kimlik avı veya aktif kimlik bilgisi toplama amacıyla kullanılmadığını söyledi.
Şeker, "Bu, hedef envanterleri, toplanan verileri, otomasyon komut dosyalarını, yapılandırma dosyalarını ve internete yönelik ağ cihazlarına karşı büyük ölçekli kimlik bilgileri toplamayı koordine etmek için kullanıldığını gösteren operasyonel eserleri içeriyordu" dedi. "Başka bir deyişle, kurbanların doğrudan etkileşime girdiği altyapı yerine, saldırganların arka uç altyapısının bir parçası olarak hizmet etti."
Araçlar, günlükler ve çalışma saatleri, etkinliğin muhtemelen ilk erişim aracısı olarak çalışan, Rusça konuşan bir tehdit aktörünün işi olduğunu gösteriyor. Hedeflemenin büyük bir kısmı Latin Amerika ve Asya Pasifik bölgelerindeki imalat, teknoloji ve lojistik sektörlerini öne çıkardı.
Uzmanların Görüşleri
SOCRadar ayrıca bunun net bir işbölümüne sahip yaklaşık 20 kişiden oluşan organize bir operasyon olduğunu gösteren dahili bir belge bulduğunu da söyledi. "Lider operatörlerden oluşan küçük bir çekirdek, uzmanlar ve destek personeli tarafından desteklenen, yüksek etkili saldırıların çoğunu yönlendiriyor" diye ekledi.
Ayrıca tehdit aktörlerinin Nextcloud'da en az bir sıfır gün güvenlik açığına sahip olduklarına inanılıyor. Tehdit istihbaratı firması, etkilenen satıcıyla aktif olarak koordinasyon halinde olduğunu söyledi.
Delaware merkezli şirket, Citrix ile ilgili, faaliyetin muhtemelen Fortinet cihazlarının ötesini de hedeflediğini gösteren eserler tespit ettiğini söyledi. Tanımlanan altyapı, Citrix ortamlarıyla ilişkili yaklaşık 29.000 IP adresi ve 37 alan adını içeren özel bir hedef listesi içeriyordu. Bu, otomatik iş akışının diğer uzaktan erişim teknolojileri için yeniden tasarlanabileceğini gösteriyor.
Önemli Gelişmeler
Şeker, "Bu aşamada, bu hedef listelerinin varlığı, Citrix cihazlarına yönelik kimlik bilgisi toplamanın zaten geniş ölçekte gerçekleştiğini kesin olarak kanıtlamaz" diye açıkladı. "Aksine, açık bir keşif ve hedefleme hazırlıklarını gösteriyor."
"Ancak altyapının gelişmişliği ve operatörlerin Fortinet cihazlarına karşı kimlik bilgisi toplamayı otomatikleştirme konusundaki kanıtlanmış yeteneği göz önüne alındığında, internete yönelik Citrix altyapısını kullanan kuruluşlar bunu bir erken uyarı olarak değerlendirmeli ve kimlik doğrulama günlüklerini doğrulamalıdır. Uygun olduğunda açığa çıkan kimlik bilgilerini döndürün, MFA'yı zorunlu kılın ve anormal oturum açma etkinliğini izleyin."
Sistem Güvenliği
Açıklama, eSentire'in, Fortinet FortiClient EMS'deki (CVE-2026-35616, CVSS puanı: 9.1) bir kusurdan yararlanan tehdit aktörlerinin enerji, kamu hizmetleri ve atık sektöründeki bir müşteriye karşı EKZ Stealer adlı bir bilgi hırsızını konuşlandırmak ve nihai hedefi Chromium tabanlı tarayıcılardan ve Firefox'tan kimlik bilgilerini toplamak ve bunları PowerShell aracılığıyla sızdırmak olduğunu gözlemlediğini belirttiği sırada geldi.