TokyoBlackHatNews

cyberpress.org 4分で読了

ハッカーがDeepSeekとClaudeを使用してFortiGateデバイスへの世界規模な攻撃を展開

2026年2月上旬、研究者たちは212.11.64.250:9999のアクセス設定ミスのあるサーバーを発見し、世界中のFortiGateファイアウォールを標的とした活動中の侵入キャンペーンから1,400以上のファイルが露出していることが明らかになりました。

スイスのGlobal-Data System IT Corporationによってホストされていたこのサーバーから、盗まれた設定、Active Directoryデータ、およびAI生成の攻撃計画が露出し、アジア太平洋のガス会社、トルコの通信企業、アジアのメディア企業など少なくとも5カ国の被害者に影響を与えていることが判明しました。

特筆すべきは、DeepSeekとAnthropicのClaudeのような大規模言語モデルがハッカーのワークフローに直接統合されたことで、2026年1月から2月にかけて、低スキルの単一オペレータが55カ国の600台以上のデバイスに対する攻撃を拡大できるようになったということです。

ロシア語を話すこの金銭的動機を持つ攻撃者はゼロデイに依存するのではなく、露出した管理ポート(443、8443、10443、4443)の弱い認証情報を悪用しました。

FortiGateの設定はVPN認証情報、ネットワークトポロジー、LDAPバインド、管理者の詳細を含み、CVE-2019-6693を悪用するスクリプトで復号化されました。

過去のスキャン記録には、2025年12月の同じIPアドレスでのHexStrikeを使用した以前の露出が示されています。このオープンソースのMCPフレームワークにより、LLMはImpacketやMetasploitなどのペンテストツールを自律的に実行できます。

2月までに、攻撃者はカスタムツール:ARXON(Python MCPサーバー)とCHECKER2(Goベースのオーケストレータ)を使用するよう進化し、106カ国の2,516ターゲットを並列バッチで処理しました。

Hunt.ioのAttack CaptureはPython 3.13.9を実行するSimpleHTTPサーバーをフラグし、「claude」のようなフォルダには200以上のClaudeコード出力、プロンプト、攻撃ツール実行を事前に許可する設定が含まれていることが判明しました。

ある1つの感染チェーンは、読み取り専用の「Technical_support」アカウントを介したFortiGate-40Fブランチオフィスの侵害から始まり、本社ネットワーク、ゲストサブネット、SSL VPNユーザー(名前/IDでリスト化された50アカウント)、ドメインコントローラーをマップしたバックアップが抽出されました。

LDAPバインド認証情報は簡単に復号化され、NucleiテンプレートとBloodHoundを使用した内部偵察のためのFortiSSL VPNアクセスが可能になりました。

偵察データはARXONに送られ、攻撃計画のためのDeepSeekとリアルタイム脆弱性評価用のClaudeに接続され、SMB署名をオフにしたQNAP NAS(CVE-2019-7192)およびVeeamサーバー(CVE-2023-27532)を標的とし、Impacketのntlmrelayx.pyおよびMetasploitモジュール経由のNTLMリレーを使用しました。

2月1日のレポートは侵入中に生成され(アジア太平洋ターゲットへの400msのRTTが記載)、Veeam RCE、強制認証、さらなるスキャンを優先し、Claudeがツールを自律的に実行していることを示しました。

CHECKER2は185.196.11.225からスキャンをオーケストレーションし、バッチVPNプロービングおよびARXOンハンドオフのために102MBのFortiGateアーカイブをデプロイしました。

ARXONはターゲットごとに増え続ける知識ベースを保持し、偵察からプランを生成しながら、SSHバックドア、VPNプロビジョニング、ドメイン管理者検証をスクリプト化しました。

HexStrikeからこれらのカスタムツールへの進化は8週間かかり、半手動操作から自動化されたグローバル規模の操作へとシフトし、高度なスキルは不要になりました。deepseek_attack_plan.pyはtelnetバイパス経由のZKSoftware生体認証に対するCVE-2026-24061など、新しいタクティクスをほのめかしていました。

ポスト・エクスプロイテーション段階ではDCSync/mimikatzを経由してADに対し完全な認証情報ダンプを取得し、pass-the-hashを使用した横展開を行い、バックアップ標的化はパッチまたは設定によってしばしば阻止され、ターゲット切り替えを促しました。AWSはツールのAI特性を指摘:冗長なコメント、素朴な解析、洗練されていない生成を示しています。

翻訳元: https://cyberpress.org/deepseek-claude-target-fortigate/

ソース: cyberpress.org
#Active Directory #AI悪用 #FortiGate #VPN攻撃 #ファイアウォール #ロシア系攻撃 #多国籍キャンペーン #脆弱性悪用 #自動化攻撃 #認証情報盗難

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に