FortiGate ถูกใช้เป็นจุดเริ่มต้นโจมตีเพื่อขโมย Credential ของ Service Account

Last updated: 12 Mar 2026

9 Views

สรุปข้อมูล

พบแคมเปญการโจมตีใหม่ใช้ประโยชน์จากอุปกรณ์ FortiGate Next-Generation Firewall (NGFW) เป็นช่องทางการ Initial Access เข้าสู่ระบบเครือข่ายของเหยื่อ ซึ่งแคมเปญนี้เกี่ยวข้องกับการ Exploit ช่องโหว่ที่เพิ่งถูกเปิดเผยหรือใช้ Credential ที่ไม่ปลอดภัยพอ เพื่อขโมยไฟล์ Configuration ที่มี Service Account Credential และข้อมูล Network Topology โดยมุ่งเป้าไปยัง Environment ที่เกี่ยวข้องกับหน่วยงานสาธารณสุข ภาครัฐ และ Managed Service Provider

รายละเอียดการโจมตี

สาเหตุที่อุปกรณ์ FortiGate เป็นเป้าหมายในการโจมตีเนื่องจากอุปกรณ์เหล่านี้มีสิทธิ์การเข้าถึงใน Environment ของเหยื่อที่ติดตั้งอุปกรณ์ FortiGate และในหลาย ๆ การ Configuration รวมถึง Service Account ที่เชื่อมต่อกับโครงสร้างพื้นฐานการ Authentication เช่น Active Directory (AD) และ Lightweight Directory Access Protocol (LDAP) การ Config ข้างต้นสามารถช่วยให้อุปกรณ์ต่าง ๆ Map Role กับผู้ใช้งานเฉพาะ โดยดึงข้อมูล Attribute เกี่ยวกับการเชื่อมต่อที่กำลังวิเคราะห์และเชื่อมโยงกับข้อมูล Directory ซึ่งมีประโยชน์ในกรณีที่ตั้ง Role-based Policy หรือเพื่อลดเวลาในการ Response Security Alerts

จากสาเหตุข้างต้น แฮกเกอร์จึงต้องการใช้สิทธิ์การเข้าถึงของ FortiGate ผ่านช่องโหว่ที่เผยแพร่สู่สาธารณะ เช่น ช่องโหว่ CVE-2025-59718, CVE-2025-59719 และ CVE-2026-24858 หรือผ่านการ Configuration ที่ไม่ถูกต้องและเหมาะสม ตัวอย่างเหตุการณ์การโจมตีอุปกรณ์ FortiGate ตลอดเดือนธันวาคม 2025 ถึงเดือนกุมภาพันธ์ 2026 มีดังนี้

เหตุการณ์การใช้ FortiGate Configs เพื่อ Enroll Rogue Domain Workstations เมื่อช่วงเดือนพฤศจิกายน 2025 - กุมภาพันธ์ 2026 โดยขั้นตอนการโจมตีมีรายละเอียดเบื้องต้นดังนี้
1. การ Initial Access และการสร้าง Persistence แฮกเกอร์สร้าง Local Administrator Account ใหม่บนอุปกรณ์ FortiGate ที่มีชื่อว่า “support” แล้วใช้ Account ดังกล่าวในการสร้าง Firewall Policy ใหม่ 4 รายการที่อนุญาตให้ Account สามารถ Bypass ทุก Zone ได้ ในระหว่างทำการโจมตีแฮกเกอร์จะตรวจสอบการเข้าถึงเป็นระยะ ซึ่งสอดคล้องกับพฤติกรรมของ Initial Access Broker (IAB) ที่กำลังสร้าง Foothold เพื่อขายให้กับแฮกเกอร์รายอื่น
2. ต่อมาช่วงการทำ Extract Credential พบว่าแฮกเกอร์มีการขโมยไฟล์ Configuration ที่มี Encrypt LDAP Credential ของ Service Account, ทำการ Decrypt และ Extract Credential ต่าง ๆ จากหลักฐานที่พบว่าแฮกเกอร์ใช้ Fortidcagent Service Account เพื่อ Authenticate เข้า AD
3. จากนั้นแฮกเกอร์ดำเนินการ Lateral Movement โดยใช้ Service Account ในการ Authentication, เพิ่มเครื่อง Workstation ปลอม เช่น WIN-X8WRBOSK0OF และ WIN-YRSXLEONJY2 และใช้ Attribute “mS-DS-MachineAccountQuota” เพื่อ Join Rogue Workstation สองเครื่องเข้ากับ AD ในการให้แฮกเกอร์สามารถเข้าถึงเพิ่มเติมได้ แฮกเกอร์ทำการสแกนระบบเครือข่ายทั้ง Environment ของเหยื่อ
เหตุการณ์การใช้ FortiGate Access เพื่อ Deploy RMM Tool และขโมย NTDS ช่วงปลายมกราคม 2026 ที่แฮกเกอร์ใช้เวลาเพียง 10 นาทีจากการ Initial Access FortiGate ไปจนถึงการเข้าสู่ Server ของเหยื่อ ไทม์ไลน์การโจมตีเบื้องต้นมีรายละเอียดดังนี้
1. แฮกเกอร์เข้าถึงอุปกรณ์ FortiGate ของเหยื่อ สร้าง Local Administrator Account ด้วยชื่อ “ssl-admin” จากนั้นแฮกเกอร์เข้าสู่ Server หลายเครื่องใน Environment ของเหยื่อด้วย Built-in Domain Administrator Account
2. ต่อมาแฮกเกอร์ทำการ Discovery ข้อมูลเพิ่มเติม เช่น ค้นหาข้อมูลการเชื่อมต่อหรือ Credential ที่เก็บไว้ในแอปพลิเคชัน จากการพบหลักฐานว่าแฮกเกอร์มีการเปิด SQL Server Management Studio (SSMS) แต่ไม่ได้เชื่อมต่อกับฐานข้อมูลใด ๆ
3. หลังจากนั้นแฮกเกอร์ทำการ File Staging และติดตั้ง RMM Tool โดยใช้ Directory “C:ProgramDataUSOShared” เป็น Staging Location ต่อมาแฮกเกอร์ทำการดาวน์โหลด Remote Monitoring and Management (RMM) Tools สองตัวคือ Pulseway และ MeshAgent ซึ่งเป็นเครื่องมือจริงแต่ถูกใช้ในทางที่ผิด
  - Pulseway ถูกดาวน์โหลดจาก Google Cloud Storage “hxxps://storage.googleapis[.]com/apply-main/windows_agent_x64[.]msi” ซึ่งคาดการว่าเป็นของแฮกเกอร์เอง และสร้าง Windows Scheduled Task ชื่อ “JavaMainUpdate”
  - MeshAgent ติดตั้งบน Domain Controller และ File Share โดยแฮกเกอร์แก้ไขค่า Windows Registry เป็น “SystemComponent=1” เพื่อซ่อน MeshAgent จาก “Programs and Features” และสร้าง Windows Scheduled Task ชื่อ “MeshUserTask”
4. แฮกเกอร์ดาวน์โหลดมัลแวร์จาก Cloud Storage Bucket ผ่าน PowerShell จาก Hostname Amazon Web Services (AWS) Simple Storage Service (S3) “fastdlvrss[.]s3[.]us-east-1[.]amazonaws[.]com” ซึ่งเป็น Amazon Resource ที่ถูกต้องแต่มีการ Register โดยแฮกเกอร์เอง โดยใช้เทคนิค DLL Side-Loading ที่มีการปลอมเป็นไฟล์ java[.]exe
5. ต่อมา Payload Java ปลอมที่ดาวน์โหลดมาจะ Beacon ไปยังสอง Domains ได้แก่ ndibstersoft[.]com และ neremedysoft[.]com จากนั้น Payloads เหล่านี้ถูก Execute กับ Server อื่น ๆ บนเครือข่ายโดยใช้ PsExec รวมถึง Primary และ Secondary Domain Controller
6. แฮกเกอร์ทำการขโมย NTDS[.]dit และ Credential Harvesting โดยสร้าง Volume Shadow Copy Backup ของ Primary Domain Controller ผ่าน Windows Management Instrumentation Controls (WMIC) จากนั้นดึงไฟล์ NTDS[.]dit และ SYSTEM Registry Hive จาก Backup โดยใช้คำสั่ง “makecab” แล้วใช้ “makecab” เพื่อ Compress แต่ละไฟล์ และ Exfiltrate ไปยัง 172[.]67[.]196[.]232 ซึ่งเป็น Cloudflare IP ผ่าน Port 443 สุดท้ายลบไฟล์ที่ Compress หลังการส่งข้อมูลเสร็จสิ้น

ผลกระทบจากการโจมตี

การโจมตีอุปกรณ์ FortiGate ส่งผลให้แฮกเกอร์สามารถเข้าถึง Service Account Credentials ที่เชื่อมต่อกับ Active Directory และข้อมูล Network Topology ทำให้สามารถทำการ Lateral Movement ภายในระบบต่อไปได้ รวมถึงการ Enroll Rogue Workstations เข้าสู่ Domain, การ Deploy Remote Management Tools เพื่อสร้าง Persistence และการขโมยข้อมูล NTDS[.]dit ที่มี Password Hash ของผู้ใช้งานทั้งหมดใน Domain ได้อีกด้วย

สรุปการโจมตี

แฮกเกอร์เริ่มต้นด้วยการ Exploit ช่องโหว่ของอุปกรณ์ FortiGate หรือใช้ Weak Credential เพื่อเข้าถึงระบบและสร้าง Local Administrator Account จากนั้นดึงไฟล์ Configuration ที่มี Service Account Credentials มา Decrypt เพื่อนำไปใช้ในการ Authenticate เข้า Active Directory ทำ Lateral Movement โดยการ Enroll Rogue Workstations เข้า Domain, Deploy RMM Tools เพื่อสร้าง Persistence และขโมยข้อมูล NTDS[.]dit เพื่อ Exfiltrate ออกไปยัง Server ของแฮกเกอร์

คำแนะนำ

อัปเดตแพตช์ความปลอดภัยอุปกรณ์ของ Fortinet ให้เป็นเวอร์ชันที่ได้รับการแก้ไขหรือเวอร์ชันล่าสุดอยู่เสมอ
ใช้ Multi-factor Authentication (MFA) สำหรับทุกบัญชีในระบบโดยเฉพาะ Admin
ใช้ Strong Administrative Access Controls บนอุปกรณ์ FortiGate
ไม่ใช้ Default Credentials หรือ Weak Passwords
จำกัดสิทธิ์การใช้งานของบัญชีตามหลักการของ Least Privilege โดยเฉพาะ Service Accounts ที่เชื่อมต่อกับ AD และ LDAP
จำกัดจำนวน Workstations ที่ Standard Accounts สามารถ Join เข้า Domain ได้โดยการปรับค่า “mS-DS-MachineAccountQuota”
ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติเพิ่มเติม
พิจารณาการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม