Nach einer erfolgreichen Kompromittierung verändert der Angreifer laut Arctic Wolf zunächst die Konfiguration so, dass Erinnerungen an anstehende Firmware-Aktualisierungen aufgeschoben werden. Zusätzlich passt er ein Remote-Access-Profil sowie eine Endpunkt-Richtlinie an, um ein schädliches Skript zur Ausführung auf den Endgeräten einzuschleusen.
„Das beobachtete Ausführungsmuster legt nahe, dass die Angreifer den eigenen Verwaltungspfad von FortiClient genutzt haben, um schädliche PowerShell-Befehle an die verwalteten Endgeräte zu verteilen — auf eine Weise, die legitimen Verwaltungsvorgängen ähnelte", erklärt Arctic Wolf. Sobald ein Weg zur Änderung der EMS-verwalteten Konfiguration bestand, sei jeder angeschlossene Endpunkt zu einem potenziellen Ausführungsziel geworden.
Technisch greift der Angriff auf „fortitray.exe" zurück, eine legitime, zu FortiClient gehörende Programmdatei. Über sie wird mittels „cmd.exe" eine .cmd-Skriptdatei gestartet, die wiederum ein Base64-kodiertes PowerShell-Skript aufruft. Dieses Skript lädt die eigentliche Schadlast herunter, führt sie aus und übermittelt die Ergebnisse per HTTP-POST-Anfrage an die Adresse 83.138.53[.]110.
Die ausführbare Datei trägt den Namen „FortiEndpoint_Patch.exe" und gibt sich als Update aus. Tatsächlich handelt es sich um einen bislang nicht gemeldeten Windows-Informationsdieb. Er sammelt sensible Daten aus Browsern auf Chromium- und Gecko-Basis, darunter Passwörter, Cookies sowie Autofill-Inhalte wie Kreditkartendaten, Adressen und Telefonnummern.
Die abgegriffenen Daten werden in eine Protokolldatei geschrieben und im Verzeichnis ProgramData abgelegt. Bemerkenswert ist, dass der Stealer selbst über keine Funktion zum netzbasierten Datenabfluss verfügt — das Versenden der erbeuteten Daten an die von den Angreifern kontrollierte Infrastruktur übernimmt das PowerShell-Skript.
„Indem die Angreifer die API-Authentifizierung umgingen und in einem privilegierten Kontext mit den EMS-Funktionen interagierten, konnten sie die Verwaltungskonfiguration verändern und schädliche Skripte zur Ausführung auf den verwalteten Endgeräten verteilen", so Arctic Wolf. Sitzungs-Cookies und gespeicherte Browser-Zugangsdaten könnten den Angreifern zudem weiterführenden Zugriff auf Cloud-Dienste, interne Anwendungen und andere authentifizierte Ressourcen verschaffen — in manchen Fällen lasse sich durch die Wiederverwendung von Sitzungen sogar eine Mehr-Faktor-Authentifizierung umgehen.
