위협 행위자, 치명적인 FortiClient EMS 결함을 이용해 Credential Stealer 배포

Source: The Hacker News

악용된 취약점

이 캠페인은 CVE‑2026‑35616을 목표로 합니다 – 사전 인증 API 접근 우회를 통해 권한 상승을 가능하게 하는 취약점(CVSS 9.1). Fortinet은 FortiClient EMS 7.4.7 및 이후 버전에서 이 문제를 해결했습니다.

“이 캠페인은 신뢰된 엔드포인트 관리 인프라를 악용해 관리되는 엔드포인트 전역에 악성코드를 배포했습니다,” Arctic Wolf가 말했습니다. “위협 행위자는 자격 증명 탈취 페이로드를 Fortinet 엔드포인트 업데이트로 위장해 PowerShell을 통해 악성 실행 파일을 조용히 실행했습니다.”
— Arctic Wolf 블로그

Image: FortiClient EMS

공격 흐름

1. 구성 조작 – EMS를 장악한 뒤, 공격자는 펌웨어 업데이트 알림을 억제하고 원격 액세스 프로필 및 엔드포인트 정책을 변경합니다.
2. 악성 스크립트 삽입 – PowerShell 명령이 FortiClient의 정상적인 관리 경로를 통해 푸시되어 일반 업데이트 작업처럼 보입니다.
3. 엔드포인트에서 실행 – 삽입된 스크립트가 별도의 침투 경로 없이 관리되는 각 장치에서 실행됩니다.

“관찰된 실행 패턴은 위협 행위자가 FortiClient 자체 관리 경로를 이용해 악성 PowerShell 명령을 관리되는 엔드포인트에 푸시했으며, 이는 정상적인 관리 작업과 유사하게 보였음을 시사합니다,” Arctic Wolf가 덧붙였습니다.

Image: PowerShell execution

페이로드 상세

• 정상 실행 파일: fortitray.exe(FortiClient의 일부)를 사용해 cmd.exe를 통해 .cmd 스크립트를 실행합니다.
• 악성 스크립트: 해당 .cmd 파일은 Base64‑인코딩된 PowerShell 명령을 실행하여 두 번째 페이로드를 다운로드·실행하고, 이후 83.138.53[.]110으로 HTTP POST 요청을 통해 데이터를 유출합니다.
• 스틸러 바이너리: FortiEndpoint_Patch.exe는 정상 업데이트로 위장했지만, 문서화되지 않은 Windows 정보 탈취 도구입니다. 수집 대상은 다음과 같습니다.
  • Chromium 및 Gecko 기반 브라우저에서 비밀번호, 쿠키, 자동완성 데이터(신용카드, 주소, 전화번호 등).
  • 탈취된 데이터는 ProgramData 디렉터리의 로그 파일에 기록됩니다.

“API 인증을 우회하고 특권 컨텍스트에서 EMS 기능과 상호 작용함으로써, 위협 행위자는 관리 구성을 수정하고 관리되는 엔드포인트에 악성 스크립트를 푸시해 실행할 수 있었습니다,” Arctic Wolf가 설명했습니다.

Image: ThreatLocker illustration

영향

• 자격 증명 노출: 세션 쿠키와 저장된 브라우저 자격 증명은 공격자가 클라우드 서비스, 내부 애플리케이션 및 기타 인증된 리소스에 접근하도록 하여 MFA를 우회할 가능성을 제공합니다.
• 제한된 유출: 스틸러 자체는 네트워크 유출을 수행하지 않으며, PowerShell 구성 요소가 공격자 제어 서버로 데이터 전송을 담당합니다.

참고 자료

• FortiClient EMS 악용에 대한 Arctic Wolf 블로그 게시물.
• CVE‑2026‑35616 상세 정보: https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html
• 추가 보도: https://thehackernews.uk/threatlabz-vpn-risk-2026-d