Ctrl+Alt+Oops: FortiBleedの犯人がログインを通じて2つの犯罪グループをつなぐ

セキュリティ

研究者らがログを精査した結果、INCとLynxの両方で同時に活動していた人物の運用ミスが少なくとも1件見つかりました

セキュリティ調査担当者らによると、先月発生したFortiBleedキャンペーンは、初期アクセスブローカー集団のメンバー1人が2つのアフィリエイトパネルにログインしていた痕跡が見つかったことで、別々の2つのランサムウェアグループにつながっていることが判明しました。

SOC RadarのThreat Research Unit(STRU)によれば、同グループの20人のメンバーのうち少なくとも1人が被害者と実際に交渉を行っており、これはFortiBleedによる数千人の被害者とランサムウェアのエコシステムとの間に直接的なつながりがあることを示すシグナルだとみています。

STRUは、攻撃が公表された後、数週間かけてFortiBleedのインフラを数百台のサーバーにわたって調査しました。これらのサーバーのうち1台で運用上の不備(opsec failure)があったため、調査チームは同IABグループの内部ファイルとログを閲覧することができ、その結果、あるメンバーがINC RansomとLynxという2つのランサムウェアグループのアフィリエイトパネル両方にログインしていたことが明らかになりました。

SOC Radarは「FortiBleedにまで遡って追跡できるインフラを使い、両方のパネルで作業している単一のオペレーターを発見したことは、このキャンペーンを通じて窃取されたFortiGateの認証情報が、ランサムウェアの展開のために引き渡されている、あるいは直接使用されていることを示す、これまでで最も明確な証拠です」と述べています

IABグループの内部ログや侵害されたエンドポイント、そしてINCとLynxのリークサイトを通じてなされた主張を精査した結果、STRUはこれまでのところ、FortiBleedの被害者に関連する少なくとも12件のランサムウェア攻撃を特定しています。

初期報道では成功した攻撃の件数は70,000件以上とされていましたが、STRUによると、同社のデータは11,250件のFortinetポータルをスキャンした結果得られたものであり、標的とされたファイアウォールは430,000台を超えていたとのことです。

管理者レベルのアクセスが確認されたのは409件の標的で、そのうち354件では攻撃者が攻撃チェーン全体を実行し、VPNを侵害してドメインコントローラーとドメイン管理者権限へのアクセスを獲得していました。

STRUは、今回の調査結果は、この攻撃が単なる認証情報窃取にとどまらず、ランサムウェア経済に直接組み込まれる攻撃であることを示している点で重要だとしています。

「今回の調査が示しているのは、FortiBleedがランサムウェア経済の傍らに位置する孤立した認証情報窃取作戦ではなく、その経済に直接流れ込んでいるということです。数十万台ものファイアウォールにまたがって認証トラフィックを密かに傍受していたのと同じアクセスブローカーのインフラが、共通のオペレーターを通じて、現在最も活発なランサムウェアブランドのうち2つとつながっています。

FortiGateインフラを運用している組織にとって、この事実はすでに緊急性の高かった調査結果のリスクをさらに高めるものです。つまり、FortiBleedへの露出は単なる認証情報漏えいのリスクにとどまらず、ランサムウェア攻撃の前兆となり得るということです」

FortiBleedの概要

6月17日に公表されたこの攻撃は、新規の脆弱性を悪用したものではありませんでした。専門家らはこれを、SSL VPNの認証ハッシュを傍受し、Hashtopolisがホストする45基のGPUクラスターを用いてクラッキングする大規模なキャンペーンだったと説明しています。 

攻撃者らはその後、窃取した認証情報を使って被害者のActive Directory環境にアクセスし、永続化を図りました。

Fortinetは2025年初頭、こうした攻撃への対策として認証情報の保存にPBKDF2アルゴリズムを導入しようとしていました。しかしこの変更は各管理者が再ログインするまで適用されなかったため、多くの組織では依然としてSHA-256にソルトを付与した方式が使われていた可能性が高く、これはブルートフォース攻撃に対して脆弱です。

当初の推計では、73,000件強のユニークなファイアウォールURLが攻撃の標的として成功裏に狙われたとされ、これにより主要組織の長いリストが侵害される事態となりました。

初期の報道では、FoxConn、Samsung、Comcast、Siemens、Lenovo、FedEx、PwC、Accenture、Oracleなどがそのリストに含まれるとされていました。また、機密ファイルがコピーされた形跡が調査担当者によって発見されたことから、名前は明らかにされていないトルコのNATO関連防衛請負企業もその中に含まれるとみられています。®


翻訳元: https://www.theregister.com/security/2026/07/02/ctrlaltoops-fortibleed-criminals-logins-stitch-two-gangs-together/5265912

ソース: theregister.com