해커, FortiClient EMS 취약점으로 인포스틸러 악성코드 배포

출처: Bleeping Computer

개요

해커들이 FortiClient Enterprise Management Server (EMS) 의 인증 우회 취약점 (CVE‑2026‑35616)을 이용해 EKZ 라는 문서화되지 않은 자격 증명 탈취 도구를 배포하고 있습니다. 공격자는 이 악성코드를 Fortinet 엔드포인트 업데이트로 위장하고, FortiClient가 관리하는 VPN 스크립트 워크플로를 통해 실행합니다.

취약점 세부 정보

• CVE‑2026‑35616: 부적절한 접근 제어 결함으로, 인증되지 않은 원격 공격자가 특수하게 조작된 요청을 통해 임의의 코드나 명령을 실행할 수 있습니다.
• Fortinet은 4월 초에 이 결함이 악용되고 있음을 확인하고 EMS 버전 7.4.5와 7.4.6에 대한 긴급 핫픽스를 배포했습니다.
• CISA는 연방 기관에 이번 주 말까지 취약점을 패치하도록 명령했습니다.
• Shadowserver Foundation은 당시 약 2,000개의 인터넷에 노출된 EMS 인스턴스를 확인했다고 보고했습니다.

공격 흐름

1. 초기 악용 – 공격자는 엔드포인트 API를 이용해 인증 없이 관리 작업을 수행합니다.
2. 구성 변조 – EMS 설정 및 VPN 정책을 수정해 악성 스크립트를 실행하도록 만듭니다.
3. 스크립트 실행 – 엔드포인트가 FortiGate 방화벽과 IPsec 터널을 설정한 뒤, 정상적인 fortitray.exe가 명령 프롬프트를 통해 배치 스크립트를 실행합니다.
4. PowerShell 페이로드 – 스크립트는 base‑64 인코딩된 PowerShell 페이로드를 실행해 EKZ 인포스틸러를 다운로드하고 실행합니다. 이때 Fortinet 패치로 위장됩니다.
5. 데이터 유출 – 수집된 데이터는 HTTP를 통해 공격자가 제어하는 VPS로 전송됩니다.

악성 PowerShell 코드 – 출처: Arctic Wolf

EKZ 인포스틸러

• 기능: Chromium 기반 브라우저와 Firefox에서 자격 증명, 신용카드 정보, 주소, 전화번호, 쿠키 등을 추출합니다.
• 우회: 암호화된 비밀번호 저장소를 우회해 브라우저 데이터를 확보합니다.
• 동작: 조용히 다운로드하고 데이터를 유출한 뒤 로컬 흔적을 삭제합니다.

인포스틸러가 인수 없이 실행됨 – 출처: Arctic Wolf

탐지 및 완화

• 로그 지표: Certificate not found in request header. 라는 행이 나타난 뒤 몇 초 뒤에 Certificate user: fortinet-ca2 … successfully updated 가 기록됩니다.
• 권장 모니터링:
  • 인증서 기반 인증 이상 징후
  • 원격 액세스 프로파일 구성의 예상치 못한 변경
  • 의심스러운 관리 활동(새 계정 생성, Tor 혹은 VPS IP와 같은 익숙하지 않은 출처에서의 로그인, 구성 변경)

Arctic Wolf의 전체 보고서에는 이러한 공격에 대비하기 위한 상세 탐지 가이드가 포함되어 있습니다.

참고 자료

• Fortinet 확인: BleepingComputer 기사
• CISA 지시: BleepingComputer 기사
• Arctic Wolf 분석: Arctic Wolf 블로그 포스트