Siber güvenlik araştırmacıları, FortiGate Yeni Nesil Güvenlik Duvarı (NGFW) cihazlarının tehdit aktörleri tarafından kurban ağlarına sızmak için giriş noktası olarak kötüye kullanıldığı yeni bir kampanyaya dikkat çekiyor.
SentinelOne’ın yayınladığı bir raporda, bu faaliyetin, servis hesabı kimlik bilgilerini ve ağ topolojisi bilgilerini içeren yapılandırma dosyalarını çıkarmak için yakın zamanda açıklanan güvenlik açıklarının veya zayıf kimlik bilgilerinin istismarını içerdiği belirtildi. Güvenlik şirketi, kampanyanın sağlık, hükümet ve yönetilen hizmet sağlayıcılarıyla bağlantılı ortamları hedef aldığını söyledi.
Güvenlik araştırmacıları Alex Delamotte, Stephen Bromfield, Mary Braden Murphy ve Amey Patne, “FortiGate ağ cihazları, korumak için kuruldukları ortamlara önemli ölçüde erişime sahiptir” dedi. “Birçok yapılandırmada, bu, Active Directory (AD) ve Hafif Dizin Erişim Protokolü (LDAP) gibi kimlik doğrulama altyapısına bağlı servis hesaplarını içerir.”
“Bu kurulum, analiz edilen bağlantı hakkındaki öznitelikleri alarak ve bunları dizin bilgileriyle ilişkilendirerek, cihazın belirli kullanıcılara roller atamasını sağlayabilir; bu, rol tabanlı politikaların ayarlandığı durumlarda veya cihaz tarafından algılanan ağ güvenliği uyarılarına yanıt hızını artırmak için faydalıdır.”
Ancak siber güvenlik şirketi, bu tür erişimin, bilinen güvenlik açıkları (örneğin, CVE-2025-59718, CVE-2025-59719 ve CVE-2026-24858) veya yanlış yapılandırmalar yoluyla FortiGate cihazlarına sızan saldırganlar tarafından istismar edilebileceğini belirtti.
Bir olayda, saldırganların Kasım 2025’te bir FortiGate cihazına sızarak “support” adında yeni bir yerel yönetici hesabı oluşturdukları ve bu hesabın herhangi bir kısıtlama olmaksızın tüm bölgelerde dolaşmasına izin veren dört yeni güvenlik duvarı politikası kurdukları söyleniyor.
Saldırgan daha sonra, cihazın erişilebilir olduğundan emin olmak için periyodik olarak kontrol etmeye devam etti; bu, bir ilk erişim aracıcısı (IAB) tarafından bir dayanak noktası oluşturulması ve bunun karşılığında diğer suçlulara parasal kazanç için satılmasıyla tutarlı bir eylemdi. Faaliyetin bir sonraki aşaması, Şubat 2026’da bir saldırganın şifrelenmiş hizmet hesabı LDAP kimlik bilgilerini içeren yapılandırma dosyasını muhtemelen çıkarmasıyla tespit edildi.
SentinelOne, “Kanıtlar, saldırganın fortidcagent hizmet hesabından açık metin kimlik bilgilerini kullanarak AD’ye kimlik doğrulaması yaptığını gösteriyor; bu da saldırganın yapılandırma dosyasının şifresini çözdüğünü ve hizmet hesabı kimlik bilgilerini çıkardığını düşündürüyor” dedi.
Saldırgan daha sonra hizmet hesabını kullanarak kurbanın ortamına kimlik doğrulaması yaptı ve AD’ye sahte iş istasyonları kaydetti, böylece daha derin erişim sağladı. Bu adımdan sonra ağ taraması başlatıldı ve bu noktada ihlal tespit edilerek daha fazla yatay hareket durduruldu.
Ocak 2026’nın sonlarında incelenen başka bir vakada, saldırganlar hızla güvenlik duvarı erişiminden Pulseway ve MeshAgent gibi uzaktan erişim araçlarını kullanmaya geçtiler. Ayrıca, saldırgan, Amazon Web Services (AWS) altyapısından PowerShell aracılığıyla bir bulut depolama kovasından kötü amaçlı yazılım indirdi.
DLL yan yüklemesi yoluyla başlatılan Java kötü amaçlı yazılımı, NTDS.dit dosyasının ve SYSTEM kayıt defteri kovanının içeriğini 443 numaralı port üzerinden harici bir sunucuya (“172.67.196[.]232”) sızdırmak için kullanıldı.
SentinelOne, “Saldırgan verilerden şifreleri kırmaya çalışmış olabilir, ancak kimlik bilgilerinin toplanması ile olayın kontrol altına alınması arasında bu tür bir kimlik bilgisi kullanımı tespit edilmedi” diye ekledi.
Delamotte, The Hacker News’e şirketin Dijital Adli Bilişim ve Olay Müdahale (DFIR) biriminin, USOShared yollarında dosyaların hazırlanması gibi benzer tekniklerin diğer vakalarda da kullanıldığını gözlemlediğini söyledi. Bu, FortiGate cihazlarının her zaman ilk erişim için kullanılmadığı daha geniş bir kampanyayı gösteriyor olabilir.
Kullanılan saldırı sonrası tekniklerdeki farklılıklar göz önüne alındığında, yukarıda bahsedilen iki olayın aynı tehdit aktörünün işi olduğuna dair şu anda hiçbir kanıt bulunmamaktadır.
“Örneğin, ilk olayda, saldırgan iş istasyonlarının AD’ye bağlanması söz konusuydu,” diye ekledi Delamotte. “Diğer olay ise, fidye yazılımı öncesi faaliyetlerle uyumlu çok zincirli bir yanal hareket operasyonunu takip etti. Saldırılar, daha sonraki aşama yükleri dağıtılmadan önce engellendiği için bunun amaç olduğunu söyleyemedik.”
Bulgular, çeşitli motivasyonlara sahip tehdit aktörlerinin çevre cihazlarını aktif olarak hedef alarak, bunları kurumsal ağlara daha derin saldırılar için başlıca ilk erişim yolları haline getirdiğinin bir başka hatırlatıcısıdır. İki olayı birbirine bağlayan ortak bir yön, güvenlik duvarlarında yeterli günlük kaydının olmamasıdır; bu da saldırganların ilk erişimi tam olarak nasıl ve ne zaman elde ettiklerinin anlaşılmasını engellemektedir.
Kuruluşların, en az 14 günlük kayıt saklama süresine sahip olmaları ve saldırganların izlerini gizlemek amacıyla yerel makinelerinden silme girişimlerine karşı önlem almak için tüm kayıtları bir Güvenlik Olayı ve Olay İzleme (SIEM) sistemine göndermeleri önerilir.
“Yeni nesil güvenlik duvarı (NGFW) cihazları, güvenlik duvarının güvenlik kontrollerini AD gibi diğer yönetim özellikleriyle entegre ederek kuruluşlar için güçlü ağ izleme yetenekleri sağladıkları için yaygın hale geldi,” diye ekledi. “Ancak bu cihazlar, casusluk yapan devlet yanlısı aktörlerden fidye yazılımı gibi finansal motivasyonlu saldırılara kadar çeşitli motivasyon ve beceri seviyelerine sahip aktörler için yüksek değerli hedeflerdir.”
