Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch mới, trong đó các tác nhân đe dọa đang lạm dụng các thiết bị tường lửa thế hệ tiếp theo FortiGate (NGFW) làm điểm xâm nhập để đột nhập vào mạng lưới của nạn nhân.
Hoạt động này liên quan đến việc khai thác các lỗ hổng bảo mật đã được tiết lộ gần đây hoặc thông tin đăng nhập yếu để trích xuất các tệp cấu hình chứa thông tin đăng nhập tài khoản dịch vụ và thông tin cấu trúc mạng, SentinelOne cho biết trong một báo cáo được công bố hôm nay. Tổ chức bảo mật này cho biết chiến dịch đã nhắm mục tiêu vào các môi trường liên quan đến y tế, chính phủ và các nhà cung cấp dịch vụ được quản lý.
"Các thiết bị mạng FortiGate có quyền truy cập đáng kể vào các môi trường mà chúng được cài đặt để bảo vệ," các nhà nghiên cứu bảo mật Alex Delamotte, Stephen Bromfield, Mary Braden Murphy và Amey Patne cho biết. "Trong nhiều cấu hình, điều này bao gồm các tài khoản dịch vụ được kết nối với cơ sở hạ tầng xác thực, chẳng hạn như Active Directory (AD) và Lightweight Directory Access Protocol (LDAP)."
"Thiết lập này có thể cho phép thiết bị ánh xạ các vai trò tới người dùng cụ thể bằng cách tìm nạp các thuộc tính về kết nối đang được phân tích và đối chiếu với thông tin Thư mục, điều này hữu ích trong trường hợp các chính sách dựa trên vai trò được đặt hoặc để tăng tốc độ phản hồi cho các cảnh báo bảo mật mạng được thiết bị phát hiện."
Tuy nhiên, công ty an ninh mạng lưu ý rằng quyền truy cập như vậy có thể bị khai thác bởi những kẻ tấn công đột nhập vào các thiết bị FortiGate thông qua các lỗ hổng đã biết (ví dụ: CVE-2025-59718, CVE-2025-59719 và CVE-2026-24858) hoặc các cấu hình sai.
Trong một sự cố, những kẻ tấn công được cho là đã đột nhập vào một thiết bị FortiGate vào tháng 11 năm 2025 để tạo một tài khoản quản trị viên cục bộ mới có tên "support" và sử dụng nó để thiết lập bốn chính sách tường lửa mới cho phép tài khoản này đi qua tất cả các vùng mà không có bất kỳ hạn chế nào.
Sau đó, tác nhân đe dọa liên tục kiểm tra để đảm bảo thiết bị có thể truy cập được, một hành động phù hợp với một initial access broker (IAB) thiết lập chỗ đứng và bán nó cho các tác nhân tội phạm khác để kiếm tiền. Giai đoạn tiếp theo của hoạt động được phát hiện vào tháng 2 năm 2026 khi một kẻ tấn công có khả năng trích xuất tệp cấu hình chứa thông tin đăng nhập LDAP tài khoản dịch vụ đã được mã hóa.
"Bằng chứng cho thấy kẻ tấn công đã xác thực vào AD bằng thông tin đăng nhập clear text từ tài khoản dịch vụ fortidcagent, cho thấy kẻ tấn công đã giải mã tệp cấu hình và trích xuất thông tin đăng nhập tài khoản dịch vụ," SentinelOne cho biết.
Sau đó, kẻ tấn công đã sử dụng tài khoản dịch vụ để xác thực vào môi trường của nạn nhân và đăng ký các máy trạm giả mạo vào AD, cho phép chúng truy cập sâu hơn. Sau bước này, hoạt động quét mạng đã được khởi tạo, tại thời điểm đó, vụ vi phạm đã được phát hiện và các di chuyển ngang tiếp theo đã bị ngăn chặn.
Trong một trường hợp khác được điều tra vào cuối tháng 1 năm 2026, những kẻ tấn công đã nhanh chóng chuyển từ việc truy cập tường lửa sang triển khai các công cụ truy cập từ xa như Pulseway và MeshAgent. Ngoài ra, tác nhân đe dọa đã tải xuống malware từ một bucket lưu trữ đám mây thông qua PowerShell từ cơ sở hạ tầng Amazon Web Services (AWS).
Malware Java, được khởi chạy thông qua DLL side-loading, đã được sử dụng để exfiltrate nội dung của tệp NTDS.dit và SYSTEM registry hive đến một máy chủ bên ngoài ("172.67.196[.]232") qua cổng 443.
"Mặc dù tác nhân có thể đã cố gắng crack mật khẩu từ dữ liệu, nhưng không có việc sử dụng thông tin đăng nhập nào như vậy được xác định giữa thời điểm thu thập thông tin đăng nhập và ngăn chặn sự cố," SentinelOne cho biết thêm.
"Các thiết bị NGFW đã trở nên phổ biến vì chúng cung cấp khả năng giám sát mạng mạnh mẽ cho các tổ chức bằng cách tích hợp các kiểm soát bảo mật của tường lửa với các tính năng quản lý khác, chẳng hạn như AD," nó cho biết thêm. "Tuy nhiên, các thiết bị này là mục tiêu có giá trị cao đối với các tác nhân với nhiều động cơ và trình độ kỹ năng khác nhau, từ các tác nhân được nhà nước hậu thuẫn thực hiện hoạt động gián điệp đến các cuộc tấn công có động cơ tài chính như ransomware."
