Arctic Wolf hat einen sichergestellten Cyberstrike-Harvester-Binary-Code mittels Reverse-Engineering analysiert und dessen Rolle innerhalb des umfassenderen Fortibleed-Angriffsablaufs untersucht. Die Analyse liefert neue Einblicke, wie Angreifer kompromittierte Fortigate-Zugänge in eine wiederholbar einsetzbare „Credential Factory“ überführen, um daraus weitere Zugangsdaten, interne Zugriffswege und potenzielle Möglichkeiten zur Datenexfiltration abzuleiten.
Fortibleed ist eine groß angelegte Kampagne zur Kompromittierung von Zugangsdaten, die auf internetexponierte Fortinet-Fortigate-Firewalls und SSL-VPN-Gateways abzielt. Die Kampagne basiert nicht auf dem Einsatz von Malware. Stattdessen nutzt sie eine mehrstufige Credential-Pipeline, die auf Credential-Stuffing, Password-Spraying, dem Harvesting von Konfigurationsdaten, Offline-Cracking sowie der Verarbeitung nach erfolgreicher Authentifizierung beruht.
Bei der Untersuchung der Kampagne analysierten die Researcher von Arctic Wolf einen sichergestellten CyberStrike-Harvester-Binary-Code und konnten dessen Einbindung in den Fortibleed-Angriffsablauf nachvollziehen. Die Untersuchung zeigt, wie kompromittierte Fortigate-Zugänge für die Extraktion von Zugangsdaten, das Knacken von Hashes, den Zugriff auf Active-Directory- und SMB-Ressourcen sowie die Exfiltration von Daten missbraucht werden können.
Wichtige Erkenntnisse im Überblick:
- Fortibleed ist weit mehr als eine reine Credential-Stuffing-Operation. Mittels Reverse-Engineering eines sichergestellten Cyberstrike-Harvester-Binary-Codes konnte Arctic Wolf Labs erstmals nachvollziehen, wie die Angreifer eine wiederholbar einsetzbare „Credential Factory“ aufgebaut haben. Diese wandelt Fortigate-basierte Netzwerkmitschnitte und Protokolldaten systematisch in verwertbare Artefakte wie crackbare Hashes, Web-Sessions, Identitätsinformationen, VPN-Zugangsdaten sowie Ausgangspunkte für weitere Angriffe auf Active-Directory- und SMB-Umgebungen um.
- Der Cyberstrike-Harvester war kein generischer Parser für Packet-Captures. Arctic Wolf Labs identifizierte einen speziell auf Fortigate zugeschnittenen Verarbeitungsweg, was darauf hindeutet, dass die Angreifer ihre Tools gezielt an die Artefakte kompromittierter Fortigate-Capture- und Session-Workflows angepasst haben.
- Die Kampagne folgte einer strukturierten siebenstufigen Angriffskette: von Capture-Processing und Credential-Cleaning über GPU-gestütztes Cracking und Kerberos-Korrelation bis hin zur Validierung von VPN-basierten AD-/SMB-Zugriffen sowie der Sammlung von Daten aus SMB- und DFS-File Shares.
- Die Untersuchung zeigt, warum technisches Patchen allein nicht ausreicht. Unternehmen sollten Zugangsdaten rotieren, Sessions und Tokens invalidieren, VPN- und Administrator-Sitzungen beenden, exportierte Konfigurationsdateien überprüfen und gezielt nach verdächtigen AD-/SMB-Aktivitäten im Zusammenhang mit VPN-Adresspools suchen.
#ArcticWolf











