Поставили патч — получили вирус. Хакеры взломали VPN-компоненты FortiClient для запуска скрытых PowerShell-скриптов
NewsMakerВ цепочке хватило одного слабого места, чтобы защита превратилась в проблему для всей сети.
Злоумышленники превратили доверенную систему управления рабочими станциями в канал для кражи данных. По данным Arctic Wolf Labs, атака на FortiClient Endpoint Management Server позволила распространять вредоносный файл через привычные для администраторов механизмы и маскировать его под обновление Fortinet.
Кампания связана с уязвимостью CVE-2026-35616 (CVSS 2.0 AV:N/AC:L/Au:N/C:C/I:C/A:C — 10.0) в FortiClient EMS. Ошибка в контроле доступа позволяла без аутентификации обходить проверку API и отправлять привилегированные запросы к уязвимым серверам. После доступа к настройкам EMS злоумышленники меняли конфигурацию Remote Access Profile и политики конечных устройств, добавляя скрипт для запуска на управляемых хостах.
Атака опиралась на VPN-конфигурацию FortiClient. При установлении IPsec-туннеля компоненты fortitray.exe или ipsec.exe запускали командные файлы через cmd.exe из каталога FortiClient. Затем выполнялся скрытый PowerShell -скрипт в кодировке Base64, который загружал вредоносный файл с сервера 83[.]138.53[.]110, запускал его и отправлял вывод обратно по HTTP.
Загруженный файл назывался FortiEndpoint_Patch.exe на заражённых системах и p.exe на удалённом сервере. Arctic Wolf Labs назвала стилер EKZ Infostealer. Программа нацелена на данные из Chrome , Microsoft Edge, других Chromium-браузеров, а также Firefox и браузеров на базе Gecko. Вредоносное ПО извлекает сохранённые пароли, cookies, данные автозаполнения, адреса, телефоны и сведения о банковских картах.
Особую опасность представляют cookie-файлы , так как с их помощью атакующие могут повторно использовать уже открытые сессии и в некоторых случаях обходить запросы многофакторной аутентификации. Для браузеров на базе Chromium EKZ Infostealer применяет обход проверки пути Chromium Elevation Service, а для Firefox загружает NSS и читает стандартные хранилища, такие как key4.db, logins.json и cookies.sqlite.
Arctic Wolf Labs также обнаружила на сервере злоумышленников дополнительные вредоносные образцы, включая архив, MSI-файл и исполняемый файл с ошибкой в названии Microsoft Windows. Прямого запуска этих файлов в изученной цепочке атаки команда не зафиксировала.
Организациям с FortiClient EMS рекомендуют как можно быстрее установить исправленную версию и ограничить доступ к порту управления 8013 только доверенными IP-адресами. Для поиска следов атаки авторы отчёта советуют искать в логах EMS ошибки сертификатов, неожиданные изменения Remote Access Profile, запуски PowerShell из каталога FortiClient и обращения к 83[.]138.53[.]110.
Злоумышленники превратили доверенную систему управления рабочими станциями в канал для кражи данных. По данным Arctic Wolf Labs, атака на FortiClient Endpoint Management Server позволила распространять вредоносный файл через привычные для администраторов механизмы и маскировать его под обновление Fortinet.
Кампания связана с уязвимостью CVE-2026-35616 (CVSS 2.0 AV:N/AC:L/Au:N/C:C/I:C/A:C — 10.0) в FortiClient EMS. Ошибка в контроле доступа позволяла без аутентификации обходить проверку API и отправлять привилегированные запросы к уязвимым серверам. После доступа к настройкам EMS злоумышленники меняли конфигурацию Remote Access Profile и политики конечных устройств, добавляя скрипт для запуска на управляемых хостах.
Атака опиралась на VPN-конфигурацию FortiClient. При установлении IPsec-туннеля компоненты fortitray.exe или ipsec.exe запускали командные файлы через cmd.exe из каталога FortiClient. Затем выполнялся скрытый PowerShell -скрипт в кодировке Base64, который загружал вредоносный файл с сервера 83[.]138.53[.]110, запускал его и отправлял вывод обратно по HTTP.
Загруженный файл назывался FortiEndpoint_Patch.exe на заражённых системах и p.exe на удалённом сервере. Arctic Wolf Labs назвала стилер EKZ Infostealer. Программа нацелена на данные из Chrome , Microsoft Edge, других Chromium-браузеров, а также Firefox и браузеров на базе Gecko. Вредоносное ПО извлекает сохранённые пароли, cookies, данные автозаполнения, адреса, телефоны и сведения о банковских картах.
Особую опасность представляют cookie-файлы , так как с их помощью атакующие могут повторно использовать уже открытые сессии и в некоторых случаях обходить запросы многофакторной аутентификации. Для браузеров на базе Chromium EKZ Infostealer применяет обход проверки пути Chromium Elevation Service, а для Firefox загружает NSS и читает стандартные хранилища, такие как key4.db, logins.json и cookies.sqlite.
Arctic Wolf Labs также обнаружила на сервере злоумышленников дополнительные вредоносные образцы, включая архив, MSI-файл и исполняемый файл с ошибкой в названии Microsoft Windows. Прямого запуска этих файлов в изученной цепочке атаки команда не зафиксировала.
Организациям с FortiClient EMS рекомендуют как можно быстрее установить исправленную версию и ограничить доступ к порту управления 8013 только доверенными IP-адресами. Для поиска следов атаки авторы отчёта советуют искать в логах EMS ошибки сертификатов, неожиданные изменения Remote Access Profile, запуски PowerShell из каталога FortiClient и обращения к 83[.]138.53[.]110.