資安研究人員指出，一項新的攻擊行動中，威脅行為者濫用 FortiGate 次世代防火牆（NGFW）設備作為入侵受害者網路的入口。

根據 SentinelOne 今日發布的報告，該活動涉及利用近期揭露的安全漏洞或弱密碼，提取包含服務帳戶憑證與網路拓撲資訊的組態檔。該安全公司表示，此攻擊鎖定醫療、政府與託管服務供應商相關環境。

資安研究人員 Alex Delamotte、Stephen Bromfield、Mary Braden Murphy 與 Amey Patne 表示：「FortiGate 網路設備對其所保護的環境擁有相當程度的存取權限。在許多設定中，這包括與驗證基礎設施（如 Active Directory（AD）與 Lightweight Directory Access Protocol（LDAP））相連的服務帳戶。」

「此種設定可使設備透過擷取被分析連線的屬性並與目錄資訊進行關聯，將角色對應至特定使用者。在設定基於角色的政策或提升裝置偵測網路安全警示回應速度時，這種機制十分有用。」

然而，該資安公司指出，若攻擊者透過已知漏洞（例如 CVE-2025-59718、CVE-2025-59719 及 CVE-2026-24858）或錯誤設定入侵 FortiGate 設備，此類存取權限可能遭到濫用。

在其中一起事件中，攻擊者於 2025 年 11 月入侵一台 FortiGate 設備，建立名為「support」的新本機管理員帳戶，並設定四條新的防火牆政策，使該帳戶可在所有區域間無限制通行。

威脅行為者隨後定期檢查設備是否仍可存取，此行為符合初始存取仲介（Initial Access Broker, IAB）建立立足點並出售給其他犯罪行為者以獲利的模式。

下一階段活動於 2026 年 2 月被偵測到，攻擊者可能提取了包含加密服務帳戶 LDAP 憑證的組態檔。

SentinelOne 表示：「證據顯示，攻擊者使用 fortidcagent 服務帳戶的明文憑證對 AD 進行驗證，這顯示攻擊者已解密組態檔並提取服務帳戶憑證。」攻擊者隨後利用該服務帳戶登入受害者環境，並將惡意工作站加入 AD，從而取得更深入的存取權限。之後展開網路掃描，於此階段入侵行為被發現，並阻止進一步橫向移動。

在另一宗 2026 年 1 月下旬調查的案例中，攻擊者迅速從防火牆存取轉向部署遠端存取工具（如 Pulseway 與 MeshAgent）。此外，威脅行為者透過 PowerShell 從 Amazon Web Services（AWS）基礎設施上的雲端儲存桶下載惡意軟體。

該 Java 惡意軟體透過 DLL side-loading 啟動，用於將 NTDS.dit 檔案與 SYSTEM 登錄機碼 Hive 的內容外洩至外部伺服器（172.67.196[.]232），通訊埠為 443。

SentinelOne 補充表示：「雖然該行為者可能試圖破解從資料中取得的密碼，但在憑證蒐集與事件控制期間未發現任何相關憑證使用跡象。」

該公司指出：「NGFW 設備已變得無處不在，因其透過整合防火牆安全控制與其他管理功能（例如 AD）為組織提供強大的網路監控能力。然而，這些設備對各種動機與技能層級的行為者而言皆屬高價值目標，從進行間諜活動的國家支持行為者，到出於財務動機的勒索軟體攻擊者皆然。」

資料來源：https://thehackernews.com/2026/03/fortigate-devices-exploited-to-breach.html