أعلنت شركة Arctic Wolf عن حملة هجومية جديدة تستغل ثغرة أمنية حرجة في نظام FortiClient Endpoint Management Server (EMS)، تحمل الرمز CVE-2026-35616 وتُصنّف بدرجة خطورة 9.1 وفق مقياس CVSS. الثغرة عبارة عن تجاوز لآلية التحقق من الوصول إلى واجهة برمجة التطبيقات (API) قبل المصادقة، ما يسمح للمهاجمين بالتصعيد إلى صلاحيات إدارية.
تم إصلاح المشكلة في إصدار FortiClient EMS 7.4.7 وما بعده، لكن المهاجمين استغلوا الأنظمة غير المحدثة لدفع برمجيات خبيثة متخفية في صورة تحديث رسمي من Fortinet.
آلية الهجوم عبر البنية التحتية الشرعية
اعتمد المهاجمون على البنية التحتية الشرعية لإدارة الأجهزة الطرفية، حيث قاموا بدفع أوامر PowerShell خبيثة عبر قنوات الإدارة نفسها، ما جعل العملية تبدو وكأنها جزء من عمليات الصيانة المعتادة.
بعد الاختراق، قام المهاجمون بتعديل إعدادات النظام لتعطيل تذكيرات التحديث، وتغيير ملفات تعريف الوصول عن بُعد، وإضافة سكربتات خبيثة إلى سياسات الأجهزة الطرفية، ما سمح بتنفيذ التعليمات الضارة على جميع الأجهزة المُدارة دون الحاجة لاختراق كل جهاز على حدة.
برمجية FortiEndpoint_Patch.exe
الهجوم استغل الملف الشرعي fortitray.exe لتشغيل سكربتات .cmd عبر cmd.exe، والتي بدورها تستدعي سكربت PowerShell مشفر بـBase64. هذا السكربت مسؤول عن تنزيل حمولة خبيثة باسم FortiEndpoint_Patch.exe، تتظاهر بأنها تحديث رسمي لكنها في الواقع برمجية غير موثقة سابقاً لسرقة المعلومات.
تقوم البرمجية بجمع بيانات حساسة مثل كلمات المرور، الكوكيز، بيانات الملء التلقائي (بطاقات ائتمان، عناوين، أرقام هواتف) من متصفحات مبنية على Chromium وGecko، وتخزنها في ملف سجل داخل مجلد ProgramData.
ورغم أن البرمجية نفسها لا تملك آلية إخراج بيانات عبر الشبكة، فإن سكربت PowerShell يتولى إرسال البيانات المسروقة إلى خادم المهاجمين عبر طلبات HTTP POST إلى العنوان 83.138.53[.]110.
تداعيات أمنية واسعة
تشير Arctic Wolf إلى أن سرقة بيانات الجلسات وكلمات المرور المخزنة قد تمنح المهاجمين وصولاً إضافياً إلى خدمات سحابية وتطبيقات داخلية، بل وحتى تجاوز بعض آليات المصادقة متعددة العوامل عبر إعادة استخدام الجلسات.
هذا النوع من الهجمات يبرز خطورة استغلال منصات الإدارة المركزية، حيث تتحول إلى قناة موحدة لنشر البرمجيات الخبيثة على نطاق واسع، ما يضاعف التأثير ويجعل الاستجابة أكثر تعقيداً.
