Nach Darstellung von Arctic Wolf beginnt der Einbruch mit dem Missbrauch von Endpunkt-Schnittstellen (APIs), über die sich administrative Aktionen ohne Authentifizierung durchführen lassen. Anschließend ändern die Angreifer die EMS-Konfiguration sowie die VPN-Richtlinien, um die Ausführung schädlicher Skripte einzuschleusen.
Sekunden nachdem ein Endpunkt einen IPsec-Tunnel zu einer FortiGate-Firewall aufgebaut hatte, startete die legitime Datei fortitray.exe über die Eingabeaufforderung schädliche Batch-Skripte. Diese führten eine base64-kodierte PowerShell-Nutzlast aus, die als Fortinet-Patch getarnte Schadsoftware herunterlud und ausführte. Die erbeuteten Daten wurden anschließend über HTTP an einen vom Angreifer kontrollierten virtuellen Server (VPS) ausgeleitet.
„Statt sich auf einen generischen Schadsoftware-Köder zu verlassen, wurde die Nutzlast als Fortinet-Endpunkt-Update präsentiert und über die von FortiClient verwalteten VPN-Skriptabläufe ausgeführt", heißt es im Bericht von Arctic Wolf. Auf den betroffenen Endpunkten hätten FortiClient-Komponenten Befehlsskripte gestartet, die PowerShell aufriefen, einen Credential-Stealer herunterluden, ihn unbemerkt ausführten und die gesammelten Browserdaten ausleiteten, bevor lokale Spuren wieder entfernt wurden.
Die als EKZ Infostealer bezeichnete Nutzlast verfügt über vergleichsweise gewöhnliche Funktionen zum Datendiebstahl. Sie nimmt sowohl Chromium-basierte Browser als auch Firefox ins Visier und überführt gespeicherte Daten in Textdateien, wobei sie den Schutz verschlüsselter Passwörter umgeht. Die Schadsoftware zielt auf Zugangsdaten, Kreditkartendaten, Adressen, Telefonnummern und Cookies ab – letztere ermöglichen den Zugriff auf Konten, die durch Mehr-Faktor-Authentifizierung geschützt sind.
Als Hinweis auf einen Ausnutzungsversuch nennt Arctic Wolf das Auftreten der Protokollzeile „Certificate not found in request header". In Labortests folgte darauf binnen Sekunden ein weiterer Eintrag, der die erfolgreiche Aktualisierung eines Zertifikatsnutzers (fortinet-ca2) vermerkte.
Die Forscher raten Verteidigern, auf Auffälligkeiten bei der Zertifikatsauthentifizierung und auf unerwartete Änderungen an den Konfigurationen der Fernzugriffs-Profile zu achten. Als Warnsignale gelten zudem verdächtige administrative Aktivitäten wie neue Konten, Anmeldungen aus ungewohnter Herkunft (Tor, VPS-IP-Adressen) oder Aktionen, die zu Konfigurationsänderungen führen. Der Bericht von Arctic Wolf enthält darüber hinaus umfangreiche Hinweise zur Erkennung der beobachteten Angriffe.
