ペリメータネットワークアプライアンスの侵害は、不正行為者をドメインコントローラーおよび企業の最も重要なデータリポジトリへと迅速に導く可能性があります。2026年の初期数ヶ月間、サイバーセキュリティの防衛者たちは、攻撃者がFortiGateファイアウォール内の脆弱性を兵器化して企業ネットワークに侵入し、その後インフラストラクチャの深部内でラテラルムーブメントを指揮する一連の侵入を記録しました。
SentinelOneの先駆者たちは、そのようなケースをいくつか注意深く分析しました。すべてのエピソードにおいて、不正行為者は最初にFortiGate次世代ファイアウォールへのアクセスを侵奪し、その直後にネットワークのラテラルトラバーサルを開始しました。これらの実動的な攻撃は、内部増殖のこの段階で正確に検出されました。
これらの法医学的調査の最中、Fortinetは複数の危険な脆弱性を確定的に封鎖しました。CVE-2025-59718とCVE-2025-59719はシングルサインオン(SSO)アーキテクチャに影響を及ぼしました。暗号署名検証の深刻な欠如により、敵対者は巧妙に偽造されたSSOトークンを送信する能力を持ち、それにより認証されていない管理者権限を奪う可能性がありました。CVE-2026-24858と指定される補助的な脆弱性は、FortiCloud認証が活発に関与している間にFortiGateアプライアンスへの不正なアクセスを容易にしました。特定のインスタンスでは、攻撃者は独自のFortiCloud認証情報を活用してペリメータに侵入しました。さらに、調査者たちは一般的で脆弱なパスワードを使用した組織的なアクセス試行を記録しました。
この足がかりを確保した後、不正行為者はshow full-configurationディレクティブを介してアプライアンスの設定レジャーを体系的に窃取しました。そのような書類は本質的にネットワークのトポロジーアーキテクチャと重要なサービスアカウントの認証情報を含んでいます。FortiOSアーキテクチャが可逆暗号化を採用していることを考えると、攻撃者は簡単にレジャーを解読してユーザー名と暗号キーを取得できます。
特定の侵入は2025年11月に発生し、2026年2月まで完全に検出されないままでした。攻撃者はFortiGateアプライアンス上にsupportという名前の局所管理者アカウントを偽造し、その後このrogue認証情報がすべての隔離されたネットワークゾーンをシームレスに通過することを可能にするファイアウォール規則を記述しました。その後、実動的な活動は急速に消滅しました。これは、アクセスポイントを厳しく守りながら、その後これにアクセスを補助シンジケートに譲り渡すイニシャルアクセスブローカー(IAB)の特徴的な動作パターンを連想させます。
後の時点で、不正行為者は設定レジャーからfortidcagentLDAPアカウントの認証情報を掘り出し、IPアドレス193.24.211[.]61からActive Directoryへの認証を実行しました。この成功したアクセスの後、攻撃者は2つのファントムワークステーション—WIN-X8WRBOSK0OFとWIN-YRSXLEONJY2—をドメインに徴募しました。これはmS-DS-MachineAccountQuota属性の悪用を通じて指揮されました。この属性は、通常のアカウントが最大10台のコンピュータをドメインインフラストラクチャに結合することを許可するシステムパラメータです。
その後、ネットワークの容赦のない偵察とブルートフォースパスワード攻撃の一斉砲撃が開始されました。システムアーキテクチャは多数の認証試行失敗を記録し、その起源は明確にFortiGateアプライアンスのIPアドレスと一致していました。法医学的防衛者たちはまた、支配されたシステム上のSoftPerfect Network Scannerユーティリティのデジタルフットプリントを発見しました。同時に、IPアドレス185.156.73[.]62および185.242.246[.]127から発散する補助的なアクセス試行が記録されました。
二次的な事件では、敵対者は非常に恐ろしい速さで活動しました。FortiGateの支配を侵奪した後、不正行為者はssl-adminと呼ばれる管理者アカウントを作成し、アプライアンスの設定を窃取し、ドメイン管理者の聖なる認証情報を奪いました。わずか10分以内に、攻撃者は組み込みドメイン管理認証情報の後ろに隠れている多数のサーバーに成功裏にログインしていました。
これらの侵害されたサーバー上で、攻撃者はC:\ProgramData\USOSharedディレクトリ内に悪意のあるアーティファクトを隔離し、PulsewayおよびMeshAgent遠隔監視管理(RMM)ツールを確立しました。Pulsewayのインストールペイロードは戦略的にGoogle Cloud Storageリポジトリ内に配置され、一方MeshAgentはドメインコントローラーとプライマリファイルサーバーに秘密裏に展開され、インストール済みアプリケーションのレジャーから注意深く難読化されていました。
加えて、不正行為者はAmazon S3バケットから有毒なアーカイブを取得しました。この悪意のあるアーキテクチャは無害なJavaコンポーネントに変装し、DLLサイドローディングの洗練された人工物を通じて悪意のあるライブラリを秘密裏に呼び出しました。実行後、寄生ソフトウェアはドメインndibstersoft[.]comとneremedysoft[.]comとの通信を確立し、その後PsExecユーティリティを介して補助サーバー全体に増殖しました。
次の段階に進むと、敵対者はドメインコントローラーのボリュームシャドウコピーを偽造し、神聖なNTDS.ditActive Directoryデータベースをシステムレジストリハイブと同時に無慈悲に抽出しました。これらのアーティファクトは体系的に圧縮され、IPアドレス172.67.196[.]232に結合された接続を介して外部ネクサスへ窃取されました。このアドレスはCloudflareアーキテクチャ内に組み込まれたアドレスです。この違法なデータ流出は約8分間続き、その後盗まれたアーカイブはホストから注意深く削除されました。
この性質の攻撃は非常に壊滅的です。FortiGateアプライアンスは本質的にインフラストラクチャの基礎的支柱、明らかにActive Directoryを含む特権的なアクセスを持っているためです。この脆弱性を悪化させるのは、そのようなペリメータアプライアンスがエンドポイントレベルの防御エージェントに対応できないという厳しい現実です。その結果、最重要防御体制は不可避的にソフトウェア修復の過度に警戒的な適用、管理アクセスの独裁的な管理、およびシステムイベントレジャーの長期保持に縮小されます。セキュリティの賢人たちは、これらのログを最小14日間保存することを激しく主張しており、理想的には60~90日間にわたり、一元化されたセキュリティ情報およびイベント管理(SIEM)アーキテクチャへのシームレスな送信を行うことを勧めています。
