Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB

FortiBleed: атака на учетные данные FortiGate и SSL VPN

FortiBleed — это кампания по компрометации учетных данных, нацеленная на интернет-доступные межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN. В отличие от традиционных атак с использованием malware, операция опирается на многоэтапный конвейер получения и обработки учетных данных, где ключевую роль играют подстановка украденных учетных данных, password spraying, сбор конфигураций, offline cracking и post-authentication processing. Расследование кампании привело к reverse engineering бинарного файла CyberStrike Harvester, который оказался связан с более широкой operational framework, используемой операторами FortiBleed. По оценке исследователей, кампания относится к high risk, однако подтвержденных доказательств использования уязвимости Fortinet CVE в качестве основного средства initial access нет. Судя по восстановленным данным, FortiBleed действует как систематическая credential-focused операция. Ее цель — не столько проникновение через эксплуатацию одной уязвимости, сколько массов
Оглавление

FortiBleed: новая campaign по компрометации учетных данных нацелена на FortiGate и SSL VPN

FortiBleed — это кампания по компрометации учетных данных, нацеленная на интернет-доступные межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN. В отличие от традиционных атак с использованием malware, операция опирается на многоэтапный конвейер получения и обработки учетных данных, где ключевую роль играют подстановка украденных учетных данных, password spraying, сбор конфигураций, offline cracking и post-authentication processing.

Расследование кампании привело к reverse engineering бинарного файла CyberStrike Harvester, который оказался связан с более широкой operational framework, используемой операторами FortiBleed. По оценке исследователей, кампания относится к high risk, однако подтвержденных доказательств использования уязвимости Fortinet CVE в качестве основного средства initial access нет.

Как работает схема атаки

Судя по восстановленным данным, FortiBleed действует как систематическая credential-focused операция. Ее цель — не столько проникновение через эксплуатацию одной уязвимости, сколько массовый сбор, очистка и проверка учетных данных для последующего использования.

  • подстановка украденных учетных данных;
  • password spraying;
  • сбор конфигурационных файлов с целевых устройств;
  • offline cracking хешей;
  • обработка данных после аутентификации;
  • извлечение session tokens и cookies;
  • очистка и верификация данных перед повторным использованием.

Такой подход позволяет операторам получать доступ к внутренним ресурсам без прямой зависимости от доставки вредоносного кода на целевые системы.

Роль CyberStrike Harvester

CyberStrike Harvester является ключевым компонентом операции. Его задача — преобразовывать захваченные сетевые данные в пригодные для использования учетные данные и hash outputs. Иными словами, инструмент превращает трафик и конфигурационные артефакты в доступ к учетным записям.

Восстановленная инфраструктура включает:

  • сложную CyberStrike laboratory setup;
  • sniffer panel для захвата трафика;
  • скрипты для обработки файлов PCAP;
  • утилиты для взлома криптографических хешей;
  • инструменты на базе Hashcat и Hashtopolis.

Именно этот конвейер обеспечивает переход от сетевого перехвата к готовым к использованию учетным записям.

Доступ к внутренней инфраструктуре

После получения первичного доступа злоумышленники переходят к автономной обработке данных. В этот этап входят сбор и проверка широкого спектра authentication artifacts, включая токены сеанса и файлы cookie. Затем сведения очищаются, фильтруются и используются для последующих атак.

Особое внимание операторы уделяют сервисам Active Directory и SMB. Для проверки и приоритизации доступа они применяют продвинутые методы работы через протоколы Kerberos и SMB, что позволяет систематически собирать и эксфильтровать внутренние данные.

Оперативная дисциплина, связанная с FortiBleed, указывает на повторяемую и эффективную схему эксплуатации раскрытых external credentials.

Инфраструктура атаки

Заметная особенность FortiBleed — комбинированная инфраструктура, включающая как системы, контролируемые злоумышленниками, так и компоненты, назначенные жертве. Взаимодействие выстроено через виртуальные машины, работающие под управлением Kali Linux и CyberStrike.

Такое разделение инфраструктуры повышает устойчивость операции и упрощает управление различными этапами атаки — от перехвата и анализа до взлома хешей и повторного использования учетных данных.

Что это означает для организаций

Исследование FortiBleed подчеркивает, что одной только установки патчей недостаточно. Для снижения рисков организациям необходимо выстраивать более широкую защиту, ориентированную на учетные данные и сессии.

  • регулярный сброс учетных данных после инцидентов;
  • проверка подлинности сессий;
  • усиление многофакторной аутентификации;
  • контроль использования конфигурационных файлов и токенов;
  • мониторинг аномальной активности в FortiGate и SSL VPN.

FortiBleed демонстрирует, что современные операции, ориентированные на учетные данные, могут быть не менее опасны, чем классические кампании с применением malware. Их эффективность строится на дисциплине, автоматизации и последовательной переработке любых доступных аутентификационных артефактов в новые точки входа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "FortiBleed: атака на учетные данные FortiGate и SSL VPN".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.