Beobachtungen
Seit Anfang 2026 untersucht SentinelOne mehrere Vorfälle, bei denen
Angreifer FortiGate NGFW-Appliances als Einstiegspunkt nutzen und von dort tief in Active-Directory-Infrastrukturen vordringen. In allen
Fällen erkannten und stoppten Verteidiger die Angreifer während der lateralen Bewegungsphase. Die Verweildauer zwischen initialem
Zugriff und aktiver Ausnutzung variiert dabei stark. Unzureichende Protokollierung auf den Appliances behindern dabei die forensische
Aufarbeitung erheblich.
Methoden
Angreifer nutzen bekannte Schwachstellen in Fortinet-Produkten aus: CVE-2025-59718 und CVE-2025-59719 sowie CVE-2026-24858. Nach erlangtem
Zugriff führen sie den Befehl show full-configuration aus und entschlüsseln die reversibel verschlüsselte
Konfigurationsdatei, um Dienstkonto-Zugangsdaten zu extrahieren.
In Vorfall 1 legte der Angreifer ein lokales Konto auf der Appliance an, wartete mehrere Wochen und nutzte das LDAP-Dienstkonto fortidcagent, um über das AD-Attribut mS-DS-MachineAccountQuota zwei eigene Workstations in die Domäne einzubinden. Anschließend führte er ausgedehntes Netzwerk-Scanning sowie Password-Spraying-Angriffe durch.
In Vorfall 2 meldete sich der Angreifer innerhalb von zehn Minuten nach Anlage eines lokalen Kontos mit dem Domain-Administrator-Konto auf mehreren Servern an. Er installierte die legitimen RMM-Tools Pulseway und MeshAgent und verbarg MeshAgent durch den Registrierungswert SystemComponent=1. Per DLL-Side-Loading lud er eine Java-imitierende Schadsoftware nach, die C2-Kommunikation zu ndibstersoft[.]com und neremedysoft[.]com aufbaute und sich mittels PsExec auf Domain Controllern ausbreitete. Abschließend erstellte er eine Volume-Shadow-Copy, extrahierte und komprimierte NTDS.dit sowie den SYSTEM-Registrierungsschlüssel und exfiltrierte die Daten über Cloudflare-Infrastruktur (Port 443).
Attribution
Eine gesicherte Attribution ist auf Basis der vorliegenden Erkenntnisse nicht möglich. Das stark variierende Zeitverhalten zwischen
den Vorfällen deutet auf unterschiedliche Akteure hin, wobei das Muster in Vorfall 1 auf einen Initial Access Broker hindeutet.
Fehlgeschlagene Anmeldeversuche stammen von IP-Adressen aus ukrainischen und kasachischen Netzwerken, was jedoch keinen belastbaren
Rückschluss auf die Täterschaft erlaubt, da Angreifer routinemäßig auf Fremdinfrastruktur zurückgreifen.
SentinelOne ordnet die Kampagnen ausdrücklich nicht dem von Amazon Security verfolgten LLM-gestützten Bedrohungsakteur zu. Der
Fokus auf die Extraktion der vollständigen AD-Datenbank weist auf ein finanzielles oder nachrichtendienstliches Interesse hin.
Handlungsempfehlungen
Organisationen sollten umgehend alle verfügbaren Fortinet-Patches einspielen (CVE-2025-59718, CVE-2025-59719, CVE-2026-24858) und
starke administrative Zugriffskontrollen auf FortiGate-Appliances durchsetzen, da diese keine EDR-Installation erlauben.
SentinelOne stellt einen ausführlichen Bericht sowie Indicators of Compromise (IOCs) zur Verfügung. Wir raten allen Stellen, die die betroffenen FortiGate-Produkte im Einsatz haben, zur Prüfung der eigenen Systeme auf Betroffenheit anhand der zur Verfügung gestellten IOCs sowie die Umsetzung der Handlungsempfehlungen.