Kibertəhlükəsizlik tədqiqatçıları təhdid aktorlarının FortiGate Next-Generation Firewall (NGFW) cihazlarını qurban şəbəkələrinə giriş nöqtəsi kimi istifadə etdikləri yeni kampaniyaya diqqət çəkirlər.
Bu fəaliyyət, yaxınlarda açıqlanmış təhlükəsizlik boşluqlarının və ya zəif parolların istismarı nəticəsində konfiqurasiya fayllarının çıxarılmasını əhatə edir. Bu fayllarda servis hesablarının etimadnamələri və şəbəkə topologiyası haqqında məlumatlar mövcuddur. SentinelOne-un bu gün yayımladığı hesabatda kampaniyanın səhiyyə, dövlət və idarə olunan xidmət təminatçıları ilə bağlı mühitləri hədəf aldığı qeyd olunur.
“FortiGate şəbəkə cihazları quraşdırıldıqları mühitlərə geniş giriş imkanına malikdir,” – deyə tədqiqatçılar Alex Delamotte, Stephen Bromfield, Mary Braden Murphy və Amey Patne bildiriblər. “Bir çox konfiqurasiyada bu, Active Directory (AD) və Lightweight Directory Access Protocol (LDAP) kimi autentifikasiya infrastrukturuna bağlı servis hesablarını da əhatə edir.”
Bu quruluş cihazın istifadəçi atributlarını kataloq məlumatları ilə əlaqələndirərək rol əsaslı siyasətlərin tətbiqi və təhlükəsizlik xəbərdarlıqlarına cavab sürətinin artırılması üçün imkan yaradır.
Lakin şirkət xəbərdarlıq edir ki, bu cür giriş imkanları hücumçular tərəfindən məlum boşluqlar (məsələn, CVE-2025-59718, CVE-2025-59719, CVE-2026-24858) və ya yanlış konfiqurasiyalar vasitəsilə istismar edilə bilər.
Bir hadisədə hücumçular 2025-ci ilin noyabrında FortiGate cihazına sızaraq “support” adlı yeni lokal administrator hesabı yaradıblar və bu hesab vasitəsilə bütün zonalara məhdudiyyətsiz keçid imkanı verən dörd yeni firewall siyasəti tətbiq ediblər.
Sonrakı mərhələdə hücumçular cihazın əlçatanlığını mütəmadi yoxlayıblar ki, bu da ilkin giriş brokerlərinin (IAB) möhkəmlənmə və əldə edilmiş girişləri digər cinayətkar aktorlara satma davranışına uyğun gəlir. 2026-cı ilin fevralında hücumçunun LDAP servis hesabının şifrələnmiş etimadnamələrini ehtiva edən konfiqurasiya faylını çıxardığı aşkar olunub.
Sübutlar göstərir ki, hücumçu fortidcagent servis hesabından açıq mətn parolları ilə AD-yə autentifikasiya edib, bu isə konfiqurasiya faylının deşifrə olunaraq etimadnamələrin əldə edildiyini göstərir.
Hücumçu daha sonra bu hesabdan istifadə edərək qurban mühitinə daxil olub və AD-yə saxta iş stansiyaları qoşaraq daha dərin giriş imkanı qazanıb. Ardınca şəbəkə skanlaması başladılıb və bu mərhələdə pozuntu aşkar edilərək lateral hərəkət dayandırılıb.
Başqa bir hadisədə (2026-cı ilin yanvarında) hücumçular firewall girişindən dərhal sonra Pulseway və MeshAgent kimi uzaqdan idarəetmə alətlərini yerləşdiriblər. Bundan əlavə, PowerShell vasitəsilə AWS infrastrukturu üzərindən bulud saxlama servisindən zərərli proqram yüklənib.
DLL side-loading texnikası ilə işə salınan Java zərərli proqramı NTDS.dit faylının və SYSTEM reyestr hive-nin məzmununu 443 portu üzərindən xarici serverə ötürüb.
SentinelOne qeyd edir ki, hücumçular parolları qırmağa cəhd etmiş ola bilərlər, lakin etimadnamələrin toplanması ilə insidentin qarşısının alınması arasında bu cür istifadəyə dair sübut aşkarlanmayıb.
DFIR mütəxəssisləri oxşar texnikaların digər hallarda da müşahidə olunduğunu bildirirlər. Bu, FortiGate cihazlarının həmişə ilkin giriş üçün istifadə olunmadığını göstərən daha geniş kampaniyaya işarədir.
Hazırda iki insidentin eyni təhdid aktoru tərəfindən həyata keçirildiyinə dair sübut yoxdur, çünki kompromisdən sonrakı texnikalar fərqlidir.
Bu tapıntılar bir daha göstərir ki, müxtəlif motivasiyalara malik təhdid aktorları perimetr cihazlarını hədəf alaraq onları müəssisə şəbəkələrinə dərin kompromislər üçün ilkin giriş nöqtəsinə çevirirlər.
Təşkilatlara ən azı 14 günlük log saxlanmasını təmin etmək və bütün logların SIEM sisteminə yönləndirilməsi tövsiyə olunur. Bu, hücumçuların lokal cihazdan logları silərək izlərini gizlətməyə çalışdığı hallarda kritik əhəmiyyət daşıyır.
“NGFW cihazları firewall funksiyalarını AD kimi idarəetmə xüsusiyyətləri ilə birləşdirərək güclü şəbəkə monitorinq imkanları təqdim etdikləri üçün geniş yayılıb. Lakin bu cihazlar həm casusluq məqsədli dövlət aktorları, həm də maliyyə yönümlü ransomware hücumları üçün yüksək dəyərli hədəflərdir.”
