新たに観測されたキャンペーンでは、信頼された端末管理インフラが悪用され、管理された企業デバイス全体に対して資格情報窃取ツールが密かに展開された。
2026年5月、Arctic WolfはFortiClient エンドポイント管理サーバー(EMS)を運用する組織を標的とした、活発な悪用キャンペーンを発見した。
脅威アクターはCVE-2026-35616(不適切なアクセス制御)の脆弱性を利用し、API認証をバイパスして正規の管理ワークフローを乗っ取り、最終的にEKZ Infostealerと呼ばれる未知の資格情報窃取ツールを数百の管理対象エンドポイントに展開した。
CVE-2026-35616は、FortiClient EMSにおける未認証のアクセス制御バイパスの脆弱性である。特定のEMSエンドポイントに対して有効な認証情報なしに細工されたHTTPリクエストを送信することで、攻撃者は認証済み管理者であるかのように特権EMSの機能を操作できる。
この脆弱性は、野生での悪用が観測された後、2026年3月31日にFortinetへ初めて報告された。
アクセスが確立されると、脅威アクターはリモートアクセスプロファイルの設定とエンドポイントポリシーを変更し、悪意あるスクリプトを埋め込んだ。
FortiClient EMSはVPNトンネル向けにon_connectスクリプトディレクティブをサポートしており、攻撃者はこの信頼された機能を悪用して、個々のデバイスを侵害することなく、すべての管理対象エンドポイントに対して同時に実行コマンドを送り込んだ。
悪意ある実行チェーンは正確なパターンに従っていた。影響を受けたエンドポイントがIPsecトンネルを確立すると、fortitray.exeがFortiClient自身のVPNログディレクトリ内から.cmdスクリプトファイルを起動した。
C:\Program Files\Fortinet\FortiClient\logs\Trace\scripts{GUID}.cmd
これらのスクリプトはBase64エンコードされたPowerShellをデコードして実行し、83[.]138[.]53[.]110にある脅威アクター管理下のサーバーからペイロードをダウンロードした。
被害者のマシンにダウンロードされた実行ファイル「FortiEndpoint_Patch.exe」は、正規のFortinetエンドポイントパッチに偽装されていた。
実際にはEKZ Infostealerであり、MinGWでコンパイルされたWindowsの資格情報収集ツールで、Arctic Wolfが今回のキャンペーンで初めて観測したものだ。観測されたプロセスチェーンの全体像は以下の通りである:
EKZ InfostealerはChrome、Microsoft Edge、Firefox、およびその他のChromiumベースおよびGeckoベースのブラウザから資格情報を抽出する機能を備えている。
Chromiumファミリーのブラウザに対しては、自身をブラウザのApplicationディレクトリにコピーし、Chromium Elevation Serviceを通じてIElevator::DecryptDataを呼び出すことで、ChromeのバージョンV20のAES-256暗号化をバイパスする。
注意: IPアドレスとドメインは、意図せぬ名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])されています。MISP、VirusTotal、またはSIEMなどの制御されたスレットインテリジェンスプラットフォーム内でのみリファング(元に戻す)してください。
影響を受けるFortiClient EMSバージョンを運用している組織は、直ちにパッチ済みリリースにアップグレードする必要がある。また、EMSの管理ポート8013へのネットワークアクセスは、信頼できるIPレンジのみに制限すべきである。
防御担当者は、悪用の試みの早期指標として証明書エラーログのCertificate not found in request headerという行を検索し、リモートアクセスプロファイルおよびエンドポイントポリシーの設定について不正なスクリプト挿入がないか監査を行うべきである。
翻訳元: https://cyberpress.org/forticlient-flaw-exploited/