インフラの乗っ取りと偽装工作
攻撃者らは最近、信頼された組織のエンドポイント管理システムをデータ窃取の経路として悪用しました。Arctic Wolf Labsの調査によると、FortiClient Endpoint Management Serverを標的とした脆弱性の悪用によってこの侵害が引き起こされました。その結果、悪意のある攻撃者たちは標準的な管理機能を通じて危険なペイロードを配布しました。さらに、悪意のあるバイナリを正規のFortinet更新プログラムに偽装することにも成功しました。
アクセス制御の欠陥を悪用
この攻撃キャンペーンは、FortiClient EMSに存在する深刻な脆弱性CVE-2026-35616と関連しています。具体的には、アクセス制御の欠陥により、未認証の攻撃者がAPIの検証を完全に回避できる状態にありました。そのため、攻撃者は脆弱なサーバーに対して特権リクエストを容易に送信することができました。EMSの設定を掌握した後、攻撃者はリモートアクセスプロファイルの設定を改ざんしました。さらに、エンドポイントポリシーを操作し、管理下にあるすべてのホストに悪意のあるスタートアップスクリプトを埋め込みました。
トンネルを利用した実行の仕組み
この侵入では、FortiClientのネイティブVPN設定が巧みに悪用されました。IPsecトンネルの確立中に、fortitray.exeやipsec.exeなどの特定のコンポーネントがバッチファイルを初期化しました。続いて、これらのバイナリはFortiClientディレクトリから直接cmd.exeを起動しました。この操作により、難読化されたBase64エンコードのPowerShellスクリプトがサイレントで実行されました。最終的に、スクリプトはリモートサーバー83[.]138.53[.]110から悪意のあるペイロードをダウンロードし、実行結果をHTTP経由で送信しました。
スティーラーコンポーネントの詳細分析
ダウンロードされたバイナリは、侵害されたエンドポイント上ではFortiEndpoint_Patch.exeとして表示され、ホストサーバー上ではp.exeとして保存されていました。Arctic Wolf Labsはこの特殊なスティーラーをEKZ Infostealerとして正式に分類しています。このマルウェアは主に、Chrome、Microsoft Edge、その他のChromiumベースのブラウザに保存されている機密データを標的としています。また、FirefoxやGeckoベースのさまざまなアプリケーションからも情報を収集します。保存された認証情報、セッションクッキー、オートフィルフォームを組織的に抽出するほか、電話番号、住所、クレジットカード情報なども盗み取ります。
セッションハイジャックと認証回避
セッションクッキーはこの攻撃において特に深刻な脅威となっています。これらのトークンを奪取することで、攻撃者はアクティブなユーザーセッションを容易に複製することができます。この手法は多くの場合、多要素認証(MFA)のチェックポイントを完全に回避するために利用されます。Chromiumアーキテクチャからこれらの資産を収集するため、EKZ InfostealerはChromium Elevation Serviceを回避します。一方、Firefoxに対しては、Network Security Services(NSS)モジュールを直接ロードすることで攻撃を行います。これにより、key4.db、logins.json、cookies.sqliteなどの標準的なデータベースファイルをシームレスに復号します。
副次的な悪意あるファイルの発見
また、Arctic Wolf Labsはコマンドサーバー上に追加の悪意あるファイルを発見しました。この中には、圧縮アーカイブファイルや不正なMSIインストーラーパッケージが含まれていました。注目すべきことに、Microsoftの製品名を意図的に誤字で模倣した実行ファイルも発見されました。ただし、今回の調査で記録された侵入シーケンスにおいて、これらのファイルが直接実行された形跡は確認されていません。
推奨される対策と脅威ハンティング
セキュリティアナリストは、FortiClient EMSを使用している組織に対し、修正済みバージョンを直ちに導入するよう強く勧告しています。また、管理者はポート8013へのアクセスを信頼できるIPアドレスのみに制限する必要があります。侵害の痕跡を検出するためには、EMSイベントログで証明書の異常を精査することが重要です。加えて、リモートアクセスプロファイルへの不正な変更がないか、環境を継続的に監視してください。最後に、FortiClientディレクトリから発生する異常なPowerShellの実行や、83[.]138.53[.]110への外部通信についても調査することをお勧めします。
翻訳元: https://meterpreter.org/forticlient-ems-exploit/
