攻击者借助多款AI服务,入侵55个国家600余台FortiGate设备

admin
admin
admin
0
文章
0
评论
2026-03-03 07:34:35 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 2026年初攻击者利用商用AI服务入侵全球600余台FortiGate设备,显示AI显著降低攻击门槛。攻击者利用弱凭据进入,借助AI解析配置并指导横向移动,虽技术初阶但规模大。建议立即隔离管理界面、强制MFA认证并监控AD异常复制活动,以应对AI驱动的自动化威胁。 综合评分: 85 文章分类: AI安全,威胁情报,应急响应,内网渗透,安全大事件

cover_image

攻击者借助多款AI服务,入侵55个国家600余台FortiGate设备

FreeBuf

2026年2月22日 18:03 上海

#

Part01

大规模入侵事件概述

2026年1月11日至2月18日期间,一个以经济利益为动机的威胁行为体利用多种商用生成式AI服务,成功入侵了55个国家超过600台FortiGate设备。此次攻击活动标志着AI技术降低网络攻击的技术门槛,使个人或小型团队能够执行以往需要大规模专业团队才能完成的攻击。

威胁行为体的初始访问完全依赖于对暴露在互联网上的FortiGate管理界面进行凭据利用,未涉及0Day漏洞或新型攻击技术。攻击者通过系统性地扫描443、8443、10443和4443端口,识别出使用弱密码或重复密码且仅采用单因素认证的设备。

Part02

高价值配置数据泄露

从FortiGate设备提取的配置文件被证明具有极高价值,包含:可恢复密码的SSL-VPN用户凭据、管理员凭据、完整网络拓扑数据、IPsec VPN对等配置以及揭示内部架构的防火墙策略。攻击者使用AI辅助的Python脚本对这些配置进行解析、解密和组织,实现了高效的规模化凭据收集。

攻击目标呈现机会主义特征而非针对特定行业,这与自动化大规模扫描行为一致。但亚马逊威胁情报部门发现,当同一实体的多台FortiGate设备被入侵时,会形成组织级入侵模式,包括与托管服务提供商部署相关的设备集群。受感染设备主要集中在南亚、拉丁美洲、加勒比地区、西非、北欧和东南亚。

Part03

AI驱动的攻击流水线

亚马逊威胁情报确认,威胁行为体在攻击每个阶段都至少依赖两种不同的商用大语言模型服务。其中一种LLM作为主要工具开发者和攻击规划者,另一种则作为在已入侵网络中横向移动的辅助工具。

在一个记录案例中,攻击者将完整的受害者网络拓扑(包括IP地址、主机名、有效凭据和已识别服务)直接输入AI服务,并要求提供逐步横向移动指导。亚马逊分析师将此操作描述为”网络犯罪的AI驱动流水线”。

Part04

攻击手法技术细节

攻击者在入侵后采用结构化方法:部署带有Mimikatz模块的Meterpreter对域控制器实施DCSync攻击,成功从多个Active Directory环境中提取完整的NTLM凭据数据库。在至少一起已确认的入侵事件中,域管理员账户使用了从FortiGate配置中复用的明文密码或独立设置的弱密码。

横向移动通过哈希传递、票据传递和NTLM中继攻击实现。攻击者专门针对Veeam备份与复制服务器,使用PowerShell脚本和编译的解密工具,通过破坏备份基础设施为后续勒索软件部署消除恢复能力。

Part05

攻击者技术局限性

#

尽管规模庞大,亚马逊分析显示攻击者存在持续的技术局限。他们在面对强化防护环境时屡屡失败(其操作笔记中有记载),并会放弃防御有效的目标,这证实其优势在于AI增强的效率和规模而非技术深度。

他们用Go和Python编写的AI生成侦察框架显示出初级开发特征:重复注释函数名、通过字符串匹配进行简单JSON解析以及空文档存根。

Part06

相关漏洞信息

#

Part07

防御建议与IOC信息

#

亚马逊已与相关行业伙伴共享入侵指标以协调受影响国家的应对措施。使用FortiGate设备的组织应立即:

  • 将管理界面从互联网隔离
  • 对所有VPN和管理访问强制实施多因素认证
  • 轮换SSL-VPN和管理凭据
  • 审计Active Directory中的DCSync活动(事件ID 4662)

鉴于此次攻击主要依赖包括Impacket、gogo和Nuclei在内的合法开源工具而非传统基于签名的IOC方法,强烈建议监控以下异常行为:

  • VPN认证异常模式
  • Active Directory非预期复制
  • 备份服务器上未经授权的PowerShell模块加载

相关IOC如下图:

参考来源:

Hackers Leveraging Multiple AI Services to Compromise 600+ FortiGate Devices

Hackers Leveraging Multiple AI Services to Compromise 600+ FortiGate Devices

#

#

#

推荐阅读

电台讨论

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《攻击者借助多款AI服务,入侵55个国家600余台FortiGate设备》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0