攻击者滥用FortiGate防火墙作为网络入侵跳板

首页 > 清静研究 > 清静转达 > 清静简讯

攻击者滥用FortiGate防火墙作为网络入侵跳板

宣布时间 2026-03-11

1. 攻击者滥用FortiGate防火墙作为网络入侵跳板

3月10日，，，网络清静研究职员近期监测到针对FortiGate下一代防火墙（NGFW）的新型攻击活动，，，威胁行为者正使用该装备作为入侵受害者网络的入口点。。。SentinelOne报告指出，，，攻击者通过近期披露的误差（如CVE-2025-59718、CVE-2025-59719、CVE-2026-24858）或弱凭证入侵装备，，，窃取包括效劳账户凭证和网络拓扑信息的设置文件，，，目的集中于医疗保健、政府及托管效劳提供商等敏情绪形。。。FortiGate装备因集成防火墙清静控制与AD/LDAP等身份验证基础设施会见权限，，，常被安排于要害网络节点。。。攻击者入侵后，，，可建设外地治理员账户（如“support”），，，设置无区域限制的防火墙战略，，，实现全网自由遍历。。。在2025年11月的一起事务中，，，攻击者通过此类操作建设长期化驻足点，，，并于2026年2月提取加密的LDAP效劳账户凭证，，，解密后使用该凭证对AD举行身份验证，，，注册恶意事情站，，，启动网络扫描，，，最终被检测并阻止横向移动。。。

https://thehackernews.com/2026/03/fortigate-devices-exploited-to-breach.html

2. 俄语威胁行为者使用BlackSanta EDR杀手攻击HR部分

3月10日，，，一年多以来，，，讲俄语的威胁行为者针对人力资源部分提倡全心策划的攻击活动，，，通过鱼叉式网络垂纶邮件撒播伪装成简历的ISO镜像文件。。。该恶意软件集成社会工程学与先进规避手艺，，，窃取敏感信息并安排名为BlackSanta的新型EDR杀手。。。攻击链中，，，ISO文件包括伪装成PDF的LNK快捷方法、PowerShell剧本、图像及ICO文件。。。LNK启动PowerShell执行剧本，，，使用隐写术从图像提取数据并在内存运行，，，随后下载含正当SumatraPDF与恶意DWrite.dll的ZIP包，，，通过DLL侧加载加载恶意代码。。。该恶意软件执行系统指纹识别，，，将信息发送至C2效劳器，，，并检测沙箱、虚拟机或调试工具以规避剖析。。。BlackSanta的焦点功效是使端点清静解决计划失效：通过添加Microsoft Defender扫除项、修改注册表镌汰遥测数据提交、抑制Windows通知，，，并终止清静历程。。。其通过枚举历程并与防病毒/EDR/SIEM工具列表比对，，，获取历程ID后使用加载的驱动程序在内核级解锁并终止历程。。。

https://www.bleepingcomputer.com/news/security/new-blacksanta-edr-killer-spotted-targeting-hr-departments/

3. BeatBanker伪装成Starlink应用实验攻击

3月10日，，，卡巴斯基研究职员克日发明针对巴西用户的BeatBanker新型Android恶意软件，，，该软件通过伪装成Starlink应用诱导用户会见冒充的Google Play市肆网站举行装置，，，集银行木马与门罗币挖矿功效于一体。。。其最新版本安排了BTMOB RAT通用远程会见木马，，，具备装备全控、键盘纪录、屏幕录制、摄像头会见、GPS跟踪及凭证捕获等能力。。。BeatBanker以APK文件分发，，，使用外地库解密隐藏的DEX代码直接加载到内存以规避检测。。。装置前会举行情形检查，，，通事后显示伪造的Play市肆更新页面，，，诱骗用户授予装置其他恶意程序的权限。。。为阻止触发警报，，，该恶意软件会延迟恶意操作，，，并通过一连播放险些听不见的5秒中文MP3录音维持长期性。。。在挖矿方面，，，BeatBanker使用专为ARM装备编译的XMRig 6.17.0修改版，，，通过加密TLS毗连攻击者控制的矿池举行门罗币挖矿，，，并支持主地点故障时回退到署理地点。。。挖矿�？？？？？？榛崞局ぷ氨缸刺舳蜃柚�，，，操作职员通过Firebase云新闻转达（FCM）一连监控装备电池电量、温度、充电状态及使用情形，，，在装备使用时阻止挖矿以镌汰物理影响，，，坚持隐藏性。。。

https://www.bleepingcomputer.com/news/security/new-beatbanker-android-malware-poses-as-starlink-app-to-hijack-devices/

4. 僵尸ZIP手艺：改动文件头绕清静扫描

3月10日，，，清静研究员Chris Aziz设计的“僵尸ZIP”手艺通过改动ZIP文件头，，，将压缩数据伪装成未压缩数据，，，乐成绕过51个杀毒引擎中的50个（VirusTotal测试）。。。该手艺使用防病毒软件对ZIP文件“要领字段”的信任，，，当要领字段标记为“存储（Method=0）”时，，，清静工具会直接扫描原始字节，，，但现实数据是经由DEFLATE压缩的，，，导致扫描器仅看到“压缩噪声”而无法检测恶意特征码。。。威胁行为者可建设专用加载器，，，忽略被改动的标头，，，直接以DEFLATE算法解压文件，，，完善恢复有用载荷。。。而标准解压工具（如WinRAR、7-Zip）实验解压时会因文件头过失报错或数据损坏，，，形成“清静工具误判、解压工具失效”的双重隐藏效果。。。CERT/CC建议清静工具供应商需验证压缩要领字段与现实数据一致性，，，增添归档结构一致性检测，，，并接纳更起劲的解压检查模式；；；用户则需审慎处置惩罚未知泉源的压缩文件，，，若解压时泛起“不支持的要领”过失，，，应连忙删除文件。。。

https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/

5. KadNap僵尸网络使用Kademlia协议熏染华硕路由器

3月10日，，，新型僵尸网络KadNap自2025年8月起已熏染14,000台华硕路由器及其他边沿装备，，，通过自界说Kademlia漫衍式哈希表（DHT）协议构建点对点网络，，，毗连C2基础设施。。。该网络近半装备关联华硕专用C2，，，其余与两个自力控制效劳器通讯，，，60%的受熏染装备位于美国，，，台湾、香港、俄罗斯亦占显著比例。。。熏染始于从212.104.141[.]140下载恶意剧本aic.sh，，，通过每55分钟运行的cron使命建设长期化，，，最终装置kad ELF二进制文件作为客户端。。。激活后，，，恶意软件获取主机外部IP，，，联系NTP效劳器获取时间及系统运行时间，，，并使用修改后的Kademlia DHT协议定位节点与C2，，，据疏散存储使C2识别与破损更难题。。。然而，，，其Kademlia实现保存缺陷：在抵达C2前与两个特定节点一连毗连，，，降低了去中心化水平，，，使控制基础设施可被识别。。。

https://www.bleepingcomputer.com/news/security/new-kadnap-botnet-hijacks-asus-routers-to-fuel-cybercrime-proxy-network/

6. Cal AI遭黑客入侵致300万用户数据泄露

3月10日，，，假名“vibecodelegend”的黑客通过网络犯法平台BreachForums宣称入侵Cal AI，，，这是一款使用AI剖析食物图片追踪卡路里与营养信息的热门康健应用，，，并泄露超300万用户的12GB小我私家数据。。。Cal AI近期因收购健身应用MyFitnessPal进一步扩大市场份额，，，而MyFitnessPal在2018年曾因前所有者Under Armour披露遭遇大规模数据泄露，，，超1.5亿用户信息被窃。。。据黑客声称，，，泄露数据涵盖用户出生日期、姓名、性别、用户名、社交媒体资料、PIN码、订阅详情、身高体重等生物特征，，，以及超280万个电子邮件地点，，，其中近120万使用Apple私有中继效劳@privaterelay.appleid.com以隐藏真实邮箱。。。别的，，，数据还包括膳食纪录、进餐时间及卡路里追踪等行为信息，，，可能袒露用户饮食模式与康健习惯。。。现在，，，相关数据已在俄语平台及多个Telegram频道撒播，，，引发隐私清静担心。。。

https://hackread.com/cal-ai-myfitnesspal-data-breach-3m-users/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究