🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um corretor de acesso inicial (IAB) de língua russa, impulsionado por ganhos financeiros, é avaliado como responsável por uma operação de coleta de credenciais em grande escala conhecida como FortiBleed, que tem como alvo mais de 430.000 firewalls FortiGate em todo o mundo.
A campanha, ativa desde fevereiro de 2026, envolve a coleta de listas de credenciais, a busca por serviços expostos, a força bruta de sistemas acessíveis e a implantação de farejadores personalizados em firewalls comprometidos.
“Uma vez implantados, esses farejadores capturam texto não criptografado e credenciais com hash do tráfego que passa por dispositivos comprometidos”, disse SOCRadar [PDF] em um novo relatório. “Os atores então quebram, validam e reutilizam as credenciais em domínios do Active Directory e outros serviços expostos.”
No centro da operação está uma ferramenta baseada em Golang chamada FortigateSniffer, que aproveita o comando de diagnóstico integrado do FortiOS -diagnose sniffer packet para capturar passivamente o tráfego de autenticação dos dispositivos infectados. A ferramenta foi projetada para monitorar o tráfego em 24 protocolos, analisar dados de autenticação e extrair as credenciais.
Suspeita-se que os atores da ameaça possam ter procurado a ajuda de uma plataforma de segurança ofensiva de código aberto e nativa de IA, chamada CyberStrike, para ajudar em algumas “partes do fluxo de trabalho”. Curiosamente, outra estrutura de código aberto chamada CyberStrikeAI foi colocada em uso em conexão com outra campanha automatizada de varredura em massa direcionada a dispositivos FortiGate que o Amazon Threat Intelligence expôs no início deste ano.
“A campanha mostra um forte foco nas pequenas e médias empresas (SMBs) com menos de 200 funcionários”, explicou o SOCRadar. "O ator tem como alvo vários setores e regiões, com notável ênfase nos Estados Unidos e na Índia. O setor de serviços de TI parece ser um alvo importante. Esta escolha de direcionamento provavelmente ajuda o ator a maximizar o acesso downstream, já que os provedores de serviços comprometidos podem criar caminhos de acesso aos ambientes dos clientes."
Talvez a descoberta mais interessante seja que o FortiBleed parece fazer parte de uma operação de acesso inicial mais ampla e de vários fornecedores que é orquestrada não apenas para atingir dispositivos Fortinet, mas também para violar Synology NAS, firewalls Sophos, portais RDWeb, Citrix SSL-VPNs e servidores MS-SQL usando força bruta automatizada desde 28 de fevereiro de 2026.
Ao todo, estima-se que os atacantes tenham lançado nada menos que 659 pipelines de recolha de credenciais em 31 de maio e 15 de junho de 2026, resultando na identificação de mais de 110 milhões de credenciais. Isso incluiu -
14,8 milhões de credenciais de serviço de usuário discado de autenticação remota (RADIUS)
924.000 hashes NTLM
130.000 hashes Kerberos
89 milhões de tokens de autenticação MySQL
A campanha FortiBleed ocorre em cinco etapas -
Realize um reconhecimento generalizado usando ferramentas como Masscan e Shodan para identificar firewalls FortiGate vulneráveis voltados para a Internet, seguido pelo uso de um utilitário personalizado denominado FortiProbe-fast e GeoSplit para filtrar sistemas FortiGate e agrupá-los por país, respectivamente.
Comprometa os dispositivos com um verificador de credenciais chamado “forticheck” que visa especificamente o painel administrativo e o portal SSL-VPN do FortiGate, além de usar ferramentas para obter acesso SSH administrativo por meio de preenchimento de credenciais e ataques de dicionário.
Ao estabelecer o acesso via SSH, o FortigateSniffer é implantado para interceptar passivamente o tráfego de autenticação em 24 protocolos (por exemplo, TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS-SQL, MySQL, PostgreSQL e RADIUS) usando comandos de diagnóstico nativos do FortiOS, tornando possível coletar credenciais de texto não criptografado e hashes de senha.
Os hashes de senha são quebrados usando Hashmat e Hashtopolis e orquestrados por um bot do Telegram chamado HASHBOT, após o qual são usados para movimentação lateral e enumeração do Active Directory.
Dados confidenciais de compartilhamentos de rede são exfiltrados enquanto cookies de sessão roubados são usados para manter acesso autenticado e persistente.
“O grupo não trata todos os alvos igualmente”, disse SOCRadar. "Em vez disso, os alvos são classificados de acordo com o valor económico antes de os recursos de exploração serem atribuídos."
Além do mais, o mecanismo de detecção inclui um filtro de cerca geográfica que restringe as operações a intervalos de IP específicos, sem mencionar a limitação da atividade entre 7h e 18h. Horário de Moscou. De acordo com os dados capturados pelo SpyCloud, o ciclo de captura relacionado ao FortiGate teria começado em 19 de maio de 2026, com a infraestrutura de cracking de hash configurada no final do mês.
“A operação ocorre em ciclos de 300 minutos (cinco horas), com status a cada minuto”, disse Zenox. "Em cada ciclo ele carrega uma lista de alvos regionais [...] e valida com 1.000 threads simultâneas, exibindo contadores de sucesso, falha, tempo limite e aviso. Nos primeiros ciclos, a taxa de validação de sucesso ficou perto de 90%."
O Braz
A campanha, ativa desde fevereiro de 2026, envolve a coleta de listas de credenciais, a busca por serviços expostos, a força bruta de sistemas acessíveis e a implantação de farejadores personalizados em firewalls comprometidos.
“Uma vez implantados, esses farejadores capturam texto não criptografado e credenciais com hash do tráfego que passa por dispositivos comprometidos”, disse SOCRadar [PDF] em um novo relatório. “Os atores então quebram, validam e reutilizam as credenciais em domínios do Active Directory e outros serviços expostos.”
No centro da operação está uma ferramenta baseada em Golang chamada FortigateSniffer, que aproveita o comando de diagnóstico integrado do FortiOS -diagnose sniffer packet para capturar passivamente o tráfego de autenticação dos dispositivos infectados. A ferramenta foi projetada para monitorar o tráfego em 24 protocolos, analisar dados de autenticação e extrair as credenciais.
Suspeita-se que os atores da ameaça possam ter procurado a ajuda de uma plataforma de segurança ofensiva de código aberto e nativa de IA, chamada CyberStrike, para ajudar em algumas “partes do fluxo de trabalho”. Curiosamente, outra estrutura de código aberto chamada CyberStrikeAI foi colocada em uso em conexão com outra campanha automatizada de varredura em massa direcionada a dispositivos FortiGate que o Amazon Threat Intelligence expôs no início deste ano.
“A campanha mostra um forte foco nas pequenas e médias empresas (SMBs) com menos de 200 funcionários”, explicou o SOCRadar. "O ator tem como alvo vários setores e regiões, com notável ênfase nos Estados Unidos e na Índia. O setor de serviços de TI parece ser um alvo importante. Esta escolha de direcionamento provavelmente ajuda o ator a maximizar o acesso downstream, já que os provedores de serviços comprometidos podem criar caminhos de acesso aos ambientes dos clientes."
Talvez a descoberta mais interessante seja que o FortiBleed parece fazer parte de uma operação de acesso inicial mais ampla e de vários fornecedores que é orquestrada não apenas para atingir dispositivos Fortinet, mas também para violar Synology NAS, firewalls Sophos, portais RDWeb, Citrix SSL-VPNs e servidores MS-SQL usando força bruta automatizada desde 28 de fevereiro de 2026.
Ao todo, estima-se que os atacantes tenham lançado nada menos que 659 pipelines de recolha de credenciais em 31 de maio e 15 de junho de 2026, resultando na identificação de mais de 110 milhões de credenciais. Isso incluiu -
14,8 milhões de credenciais de serviço de usuário discado de autenticação remota (RADIUS)
924.000 hashes NTLM
130.000 hashes Kerberos
89 milhões de tokens de autenticação MySQL
A campanha FortiBleed ocorre em cinco etapas -
Realize um reconhecimento generalizado usando ferramentas como Masscan e Shodan para identificar firewalls FortiGate vulneráveis voltados para a Internet, seguido pelo uso de um utilitário personalizado denominado FortiProbe-fast e GeoSplit para filtrar sistemas FortiGate e agrupá-los por país, respectivamente.
Comprometa os dispositivos com um verificador de credenciais chamado “forticheck” que visa especificamente o painel administrativo e o portal SSL-VPN do FortiGate, além de usar ferramentas para obter acesso SSH administrativo por meio de preenchimento de credenciais e ataques de dicionário.
Ao estabelecer o acesso via SSH, o FortigateSniffer é implantado para interceptar passivamente o tráfego de autenticação em 24 protocolos (por exemplo, TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS-SQL, MySQL, PostgreSQL e RADIUS) usando comandos de diagnóstico nativos do FortiOS, tornando possível coletar credenciais de texto não criptografado e hashes de senha.
Os hashes de senha são quebrados usando Hashmat e Hashtopolis e orquestrados por um bot do Telegram chamado HASHBOT, após o qual são usados para movimentação lateral e enumeração do Active Directory.
Dados confidenciais de compartilhamentos de rede são exfiltrados enquanto cookies de sessão roubados são usados para manter acesso autenticado e persistente.
“O grupo não trata todos os alvos igualmente”, disse SOCRadar. "Em vez disso, os alvos são classificados de acordo com o valor económico antes de os recursos de exploração serem atribuídos."
Além do mais, o mecanismo de detecção inclui um filtro de cerca geográfica que restringe as operações a intervalos de IP específicos, sem mencionar a limitação da atividade entre 7h e 18h. Horário de Moscou. De acordo com os dados capturados pelo SpyCloud, o ciclo de captura relacionado ao FortiGate teria começado em 19 de maio de 2026, com a infraestrutura de cracking de hash configurada no final do mês.
“A operação ocorre em ciclos de 300 minutos (cinco horas), com status a cada minuto”, disse Zenox. "Em cada ciclo ele carrega uma lista de alvos regionais [...] e valida com 1.000 threads simultâneas, exibindo contadores de sucesso, falha, tempo limite e aviso. Nos primeiros ciclos, a taxa de validação de sucesso ficou perto de 90%."
O Braz
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #fortibleed #direcionou #firewalls #fortigate #em #operação #de #coleta #de #110 #milhões #de #credenciais
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário