攻击者滥用FortiGate防火墙作为网络入侵跳板

首页 > 安全钻研 > 安全传递 > 安全简讯

攻击者滥用FortiGate防火墙作为网络入侵跳板

颁布功夫 2026-03-11

1. 攻击者滥用FortiGate防火墙作为网络入侵跳板

3月10日，网络安全钻研人员近期监测到针对FortiGate下一代防火墙（NGFW）的新型攻击活动，威胁行为者正利用该设备作为入侵受害者网络的入口点。SentinelOne汇报指出，攻击者通过近期披露的缝隙（如CVE-2025-59718、CVE-2025-59719、CVE-2026-24858）或弱痛处入侵设备，窃取蕴含服务账户痛处和网络拓扑信息的配置文件，指标集中于医疗保健、当拘陌托管服务提供商等敏感环境。FortiGate设备因集成防火墙安全节造与AD/LDAP等身份验证基础设施接见权限，常被部署于关键网络节点。攻击者入侵后，可创建本地治理怨厮户（如“support”），设置无区域限度的防火墙战术，实现全网自由遍历。在2025年11月的一路事务中，攻击者通过此类操作成立悠久化安身点，并于2026年2月提取加密的LDAP服务账户痛处，解密后使用该痛处对AD进行身份验证，注册恶意工作站，启动网络扫描，最终被检测并阻止横向移动。

https://thehackernews.com/2026/03/fortigate-devices-exploited-to-breach.html

2. 俄语威胁行为者利用BlackSanta EDR杀手攻击HR部门

3月10日，一年多以来，讲俄语的威胁行为者针对人力资源部门提议精心策动的攻击活动，通过鱼叉式网络垂钓邮件传布假装成简历的ISO镜像文件。该恶意软件集成社会工程学与先进躲避技术，窃取敏感信息并部署名为BlackSanta的新型EDR杀手。攻击链中，ISO文件蕴含假装成PDF的LNK快捷方式、PowerShell剧本、图像及ICO文件。LNK启动PowerShell执行剧本，利用隐写术从图像提取数据并在内存运行，随后下载含合法SumatraPDF与恶意DWrite.dll的ZIP包，通过DLL侧加载加载恶意代码。该恶意软件执行系统指纹鉴别，将信息发送至C2服务器，并检测沙箱、虚构机或调试工具以躲避分析。BlackSanta的主题职能是使端点安全解决规划失效：通过增长Microsoft Defender排除项、批改注册表削减遥测数据提交、抑造Windows通知，并终止安全过程。其通过枚举过程并与防病毒/EDR/SIEM工具列表比对，获取过程ID后使用加载的驱动法式在内核级解锁并终止过程。

https://www.bleepingcomputer.com/news/security/new-blacksanta-edr-killer-spotted-targeting-hr-departments/

3. BeatBanker假装成Starlink利用执行攻击

3月10日，卡巴斯基钻研人员近日发现针对巴西用户的BeatBanker新型Android恶意软件，该软件通过假装成Starlink利用诱导用户接见假冒的Google Play商店网站进行装置，集银行木马与门罗币挖矿职能于一体。其最新版本部署了BTMOB RAT通用远程接见木马，具备设备全控、键盘纪录、屏幕录造、摄像头接见、GPS跟踪及凭证捕获等能力。BeatBanker以APK文件分发，利用本地库解密暗藏的DEX代码直接加载到内存以躲避检测。装置前会进行环境查抄，通过后显示伪造的Play商店更新页面，诱骗用户授予装置其他恶意法式的权限。为预防触发警报，该恶意软件会延长恶意操作，并通过持续播放险些听不见的5秒中文MP3灌音维持悠久性。在挖矿方面，BeatBanker使用专为ARM设备编译的XMRig 6.17.0批改版，通过加密TLS衔接攻击者节造的矿池进行门罗币挖矿，并支持主地址故障时回退到代理地址。挖矿�？榛崞揪萆璞盖榭龆舳蛑粘�，操作人员通过Firebase云新闻传递（FCM）持续监控设备电池电量、温度、充电状态及使用情况，在设备使用时终场挖矿以削减物理影响，维持荫蔽性。

https://www.bleepingcomputer.com/news/security/new-beatbanker-android-malware-poses-as-starlink-app-to-hijack-devices/

4. 僵尸ZIP技术：篡改文件头绕安全扫描

3月10日，安全钻研员Chris Aziz设计的“僵尸ZIP”技术通过篡改ZIP文件头，将压缩数据假装成未压缩数据，成功绕过51个杀毒引擎中的50个（VirusTotal测试）。该技术利用防病毒软件对ZIP文件“步骤字段”的信赖，当步骤字段象征为“存储（Method=0）”时，安全工具会直接扫描原始字节，但现实数据是经过DEFLATE压缩的，导致扫描器仅看到“压缩噪声”而无法检测恶意特点码。威胁行为者可创建专用加载器，忽略被篡改的标头，直接以DEFLATE算法解压文件，美满复原有效载荷。而尺度解压工具（如WinRAR、7-Zip）尝试解压时会因文件头谬误报错或数据败坏，形成“安全工具误庞注解压工具失效”的双沉荫蔽成效。CERT/CC建议安全工具供给商需验证压缩步骤字段与现实数据一致性，增长归档结构一致性检测，并选取更积极的解压查抄模式；用户则需审慎处置未知起源的压缩文件，若解压时出现“不支持的步骤”谬误，应立即删除文件。

https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/

5. KadNap僵尸网络利用Kademlia和谈习染华硕路由器

3月10日，新型僵尸网络KadNap自2025年8月起已习染14,000台华硕路由器及其他边缘设备，通过自界说Kademlia散布式哈希表（DHT）和谈构建点对点网络，衔接C2基础设施。该网络近半设备关联华硕专用C2，其余与两个独立节造服务器通讯，60%的受习染设备位于美国，台湾、香港、俄罗斯亦占显著比例。习染始于从212.104.141[.]140下载恶意剧本aic.sh，通过每55分钟运行的cron工作成立悠久化，最终装置kad ELF二进造文件作为客户端。激活后，恶意软件获取主机表部IP，联系NTP服务器获取功夫及系统运行功夫，并利用批改后的Kademlia DHT和谈定位节点与C2，据分散存储使C2鉴别与粉碎更难题。然而，其Kademlia实现存在缺点：在达到C2前与两个特定节点持续衔接，降低了去中心化水平，使节造基础设施可被鉴别。

https://www.bleepingcomputer.com/news/security/new-kadnap-botnet-hijacks-asus-routers-to-fuel-cybercrime-proxy-network/

6. Cal AI遭黑客入侵致300万用户数据泄露

3月10日，化名“vibecodelegend”的黑客通过网络犯罪平台BreachForums宣称入侵Cal AI，这是一款利用AI分析食品图片追踪卡路里与营养信息的热点健全利用，并泄露超300万用户的12GB幼我数据。Cal AI近期因收购健身利用MyFitnessPal进一步扩大市场份额，而MyFitnessPal在2018年曾因前所有者Under Armour披露遭逢大规模数据泄露，超1.5亿用户信息被窃。据黑客宣称，泄露数据涵盖用户诞生日期、姓名、性别、用户名、社交媒体资料、PIN码、订阅详情、身高体沉等生物特点，以及超280万个电子邮件地址，其中近120万使用Apple私有中继服务@privaterelay.appleid.com以暗藏真实邮箱。此表，数据还蕴含炊事纪录、进餐功夫及卡路里追踪等行为信息，可能露出用户饮食模式与健全习惯。目前，有关数据已在俄语平台及多个Telegram频路流传，引发隐衷安全忧郁。

https://hackread.com/cal-ai-myfitnesspal-data-breach-3m-users/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研