Negli ultimi mesi diversi attaccanti stanno usando i dispositivi FortiGate Next Generation Firewall come punto di ingresso per violare reti aziendali e rubare credenziali di account di servizio. Questi apparati, spesso posizionati sul perimetro e con ampia visibilita sul traffico, possono avere accesso a informazioni estremamente sensibili come topologia di rete, policy e integrazioni con servizi di autenticazione. Proprio per questo diventano obiettivi ad alto valore per campagne di intrusione mirate.

La tecnica osservata combina lo sfruttamento di vulnerabilita note o credenziali deboli con l’estrazione dei file di configurazione del firewall. All’interno di tali configurazioni possono essere presenti credenziali di servizio usate per collegare il dispositivo a infrastrutture come Active Directory e LDAP. In molte implementazioni queste credenziali servono a mappare ruoli e utenti, recuperare attributi e accelerare la risposta degli alert di sicurezza, ma se finiscono in mano a un attore malevolo possono trasformarsi in una scorciatoia verso l’accesso interno.

In un caso documentato, dopo l’accesso iniziale al FortiGate, gli aggressori hanno creato un nuovo account amministratore locale chiamato support e hanno aggiunto regole firewall che consentivano a quell’account di attraversare tutte le zone senza restrizioni. Questo tipo di modifica permette di mantenere persistenza e di preparare l’ambiente per fasi successive. Le verifiche periodiche di raggiungibilita del dispositivo suggeriscono un comportamento tipico di un initial access broker, cioe un soggetto che stabilisce un punto di appoggio e lo monetizza cedendolo ad altri gruppi.

Successivamente e stata rilevata l’estrazione della configurazione contenente credenziali LDAP cifrate. Le evidenze indicano che l’attaccante sia riuscito a decifrare il file e ottenere credenziali in chiaro, poi usate per autenticarsi su Active Directory tramite un account di servizio. Da li e stato possibile registrare workstation non autorizzate nel dominio, aumentare la profondita dell’accesso e avviare attivita di scansione di rete.

In un altro episodio, l’escalation e stata rapida: dall’accesso al firewall si e passati al deployment di strumenti di accesso remoto come Pulseway e MeshAgent, oltre al download di malware tramite PowerShell da infrastrutture cloud. Un malware Java avviato con DLL side loading e stato impiegato per esfiltrare NTDS.dit e hive SYSTEM verso un server esterno su porta 443, aprendo la strada a furto di identita e movimenti laterali.