近期研究人員揭露,一場針對 Fortinet FortiClient Endpoint Management Server(EMS)的攻擊行動,正在被實際用於大規模散播資訊竊取惡意程式。這起事件之所以引發資安圈高度關注,不只是因為漏洞本身,而是攻擊者成功「反向利用企業自己的安全管理平台」,讓原本被視為可信任的端點管理基礎設施,變成惡意程式散播中心。
根據Arctic Wolf 的研究人員分析,攻擊者利用的是編號 CVE-2026-35616 的 FortiClient EMS 漏洞。該漏洞屬於存取控制不當(Improper Access Control)問題,允許未經驗證的攻擊者直接繞過 EMS API 的身份驗證機制,向系統送出高權限管理請求。換句話說,攻擊者不需要合法帳號密碼,就有機會取得 EMS 的管理權限。
這代表一旦企業的 EMS 平台遭到入侵,攻擊者便能直接修改 VPN 設定、下發端點政策,甚至透過官方管理功能,將惡意腳本同步推送到所有受管設備。對許多大型企業而言,EMS 本來就是管理遠端存取與端點安全的核心平台,因此這類攻擊本質上已經不是單一端點事件,而是典型的「中央管理平台失守」。
研究人員指出,攻擊者入侵 EMS 後,修改了 Remote Access Profile 與 Endpoint Policy,並濫用了 FortiClient 原本提供的「on_connect」功能。這項功能原本是為了企業自動化維運設計,允許 VPN Tunnel 建立時自動執行指定腳本,例如更新環境設定或檢查安全政策。然而攻擊者卻將其武器化,讓所有透過 IPsec VPN 連線的員工裝置,在正常連線過程中自動執行惡意程式。
從目前曝光的攻擊鏈來看,當使用者建立 VPN 連線後,FortiClient 的 fortitray.exe 會自動觸發 GUID 命名的 .cmd 腳本,接著透過 PowerShell 解碼 Base64 Payload,再從外部伺服器下載名為 FortiEndpoint_Patch.exe 的惡意執行檔。整個過程幾乎完全隱藏於正常的 FortiClient 流程中,對一般使用者而言極難察覺。
更值得注意的是,這次下載的惡意程式並非已知家族,而是一款先前未被公開記錄的新型資訊竊取工具。研究團隊將其命名為「EKZ Infostealer」。該惡意程式專門針對 Chromium 系列瀏覽器(如 Chrome、Edge)以及 Gecko 系列瀏覽器(如 Firefox、LibreWolf、Thunderbird)進行憑證與 Session Cookie 竊取。
EKZ 的技術成熟度也顯示,這已不是傳統低階木馬。研究人員發現,EKZ 會利用 Chromium 的 Elevation Service 機制,透過 IElevator::DecryptData API 取得新版 Chrome 使用的 AES-256 v20 主金鑰,進而解密瀏覽器內儲存的帳號密碼與憑證資料。對 Firefox 系列瀏覽器,則會動態載入 nss3.dll,直接讀取 key4.db、logins.json 與 cookies.sqlite 等敏感資料。
真正危險的部分,在於攻擊者鎖定的並不只是帳號密碼,而是 Session Cookie。近年大量攻擊事件已證明,只要 Session Cookie 遭竊,即使企業已全面導入 MFA(多因素驗證),攻擊者仍可能直接繞過驗證流程接管帳號。這也是為何近年 Infostealer 攻擊在地下市場迅速擴張的原因之一。
此外,研究人員也觀察到,攻擊初期曾出現多筆來自 Tor Exit Node 的登入行為,包括 185[.]220.101.15 與 192[.]42.116.14 等匿名網路節點,顯示攻擊者刻意利用 Tor 隱藏來源與降低追蹤難度。這類手法近年已廣泛出現在 VPN、RMM、IAM 與雲端管理平台相關攻擊中。
從防禦角度來看,這起事件再次反映出現代攻擊者的目標已從單一端點,逐漸轉向企業的「管理中樞」。過去勒索軟體集團可能透過釣魚郵件逐台感染設備,但現在只要成功控制 EMS、RMM、MDM 或 IAM 等高權限平台,就能在極短時間內對整個企業環境進行橫向擴散。
這也是為什麼此次事件特別危險。因為對許多企業而言,FortiClient EMS 本身就是高度信任的平台,一旦其被攻擊者利用,企業自己的 IT 管理機制反而會成為惡意程式散播工具。
對企業來說,現在最重要的已不只是單純修補漏洞,而是重新檢視管理平台的曝險風險。包括 EMS 管理 Port 是否直接暴露於 Internet、Remote Access Profile 是否遭異常修改、端點是否出現異常 PowerShell 行為,以及是否存在 GUID 命名的 .cmd 腳本,都應立即納入調查範圍。
更重要的是,若企業確認曾受影響,不能只要求使用者更改密碼。因為 Session Cookie 很可能早已遭到竊取,企業還必須同步執行 Token 失效、Session 強制登出與重新驗證機制,否則 MFA 仍可能形同虛設。
這起事件最大的警訊,不只是 Fortinet 再次出現高風險漏洞,而是攻擊者已開始系統性地「武器化企業自己的安全管理平台」。當原本被視為可信任的管理系統成為攻擊入口,其造成的破壞力,往往遠高於傳統端點惡意程式攻擊。