it

AI 辅助的威胁行为者在 55 个国家入侵 600 多台 FortiGate 设备

发布: (2026年2月21日 GMT+8 22:49)
8 分钟阅读
原文: The Hacker News

Source: The Hacker News

FortiGate

一名以俄语为母语、以金钱为动机的威胁行为者被观察到利用商业生成式人工智能(AI)服务,侵入 600 多台位于 55 个国家的 FortiGate 设备
亚马逊威胁情报报告该活动发生在 2026 年 1 月 11 日至 2 月 18 日

“未观察到对 FortiGate 漏洞的利用——相反,此次行动通过利用暴露的管理端口和单因素身份验证的弱凭证,实现了规模化攻击,这是 AI 帮助技术不成熟的行为者弥补基础安全缺口的结果,”
— C.J. Moses,亚马逊综合安全首席信息安全官(CISO)
Source

该行为者的技术能力有限,但通过多种商业生成式 AI 工具得到补偿,用于:

  • 工具开发
  • 攻击规划
  • 命令生成

其中一种 AI 工具作为主要骨干,另一种 AI 工具则作为网络枢纽的后备。工具名称未披露。

该行为者的动机是 获取经济利益并非与拥有国家资助资源的高级持续性威胁(APT)组织有关。正如最近 Google 所强调的,生成式 AI 工具正被威胁行为者日益采用,以 扩大和加速其行动,即使他们并未对该技术进行全新使用。

“如果说有什么的话,AI 工具的出现说明了曾经对新手或技术受限的威胁行为者不可及的能力正变得日益可行,这进一步降低了网络犯罪的入门门槛,使他们能够想出新的攻击方法。” — Moses

Gartner

“他们很可能是出于金钱动机的个人或小团队,通过 AI 增强,实现了以前需要更大、更有技能的团队才能达到的运营规模,” — Moses

亚马逊的调查显示,该行为者:

  • 侵入了多个组织的 Active Directory 环境
  • 提取了完整的凭证数据库
  • 针对备份基础设施进行攻击,可能是为部署勒索软件做准备

该行为者并未在硬化环境中长期驻留,而是放弃此类目标,转向防御较弱的受害者,利用 AI 弥补其技能差距。

攻击者管理的公开基础设施上托管了以下制品:

  • AI 生成的攻击计划
  • 受害者配置文件
  • 定制工具的源代码

该行动类似于一个 “AI 驱动的网络犯罪装配线”。

攻击工作原理

  1. 扫描 – 对暴露在互联网的 FortiGate 管理接口进行系统性扫描,端口为 443、8443、10443 和 4443
  2. 身份验证尝试 – 使用常见的重复使用凭证。
  3. 数据提取 – 侵入后,收集完整的设备配置,揭示凭证、网络拓扑和设备特定信息。

扫描是 行业无关 的,表明是自动化的大规模扫描。活动来源于 IP 地址 212.11.64[.]250 – 请参阅 Virustotal 报告

提取的数据使得更深层次的网络渗透和后渗透活动成为可能,包括:

  • 使用 Nuclei 进行侦察
  • 活动目录(Active Directory)妥协
  • 凭证收集
  • 尝试访问备份基础设施(典型的勒索软件行为)

受影响的集群分布于:

  • 南亚
  • 拉丁美洲和加勒比地区
  • 西非
  • 北欧
  • 东南亚

“在获得受害网络的 VPN 访问后,威胁行为者部署了自定义侦察工具,该工具有 GoPython 两种语言的不同版本,”公司表示。

“对源代码的分析显示出明显的 AI 辅助开发迹象:冗余的注释仅重复函数名称,架构过于简化,对格式化的投入远超功能实现,使用字符串匹配而非正确的反序列化进行天真的 JSON 解析……”
(报告在此截断。)

威胁行为者活动概览

进一步的步骤包括:

  • 域名妥协 通过 DCSync attacks
  • 横向移动 使用 pass‑the‑hash / pass‑the‑ticket、NTLM 中继以及在 Windows 主机上的远程命令执行
  • 针对 Veeam Backup & Replication 服务器 部署凭证收集工具并利用已知的 Veeam 漏洞,例如:

ThreatLocker

行为者在尝试超出“最直接、自动化的攻击路径”的攻击时屡屡失败,通常是因为目标:

  • 已修补服务
  • 已关闭所需端口
  • 缺乏可利用的漏洞向量

Source: https://thehackernews.com/2026/01/fortinet-patches-cve-2026-24858-after.html

对 Fortinet 及整体安全的建议

随着 Fortinet 设备成为有吸引力的攻击目标,组织应当:

  1. 限制管理接口——确保它们不对互联网暴露。
  2. 更改所有设备的默认和常用凭证
  3. 定期轮换 SSL‑VPN 用户凭证
  4. 为管理和 VPN 访问实施多因素认证
  5. 审计未授权的管理账户或连接

其他最佳实践:

  • 将备份服务器与普通网络隔离
  • 保持所有软件为最新版本,及时打补丁。
  • 监控意外的网络暴露和异常活动

“随着我们预计这种趋势在 2026 年继续,组织应预料到 AI 增强的威胁活动将会在熟练和不熟练的对手之间在数量上增长,”Moses 说。“坚实的防御基础仍是最有效的对策:外围设备的补丁管理、凭证卫生、网络分段以及对后渗透指示器的强大检测。”

保持了解

觉得这篇文章有趣吗?关注我们获取更多独家内容:

  • Google 新闻:
  • Twitter:
  • LinkedIn:
0 浏览
#AI #generative AI #cybersecurity #threat actor #FortiGate #network security #vulnerability exploitation #Amazon Threat Intelligence #global breach
查看原文
Share:
Back to Blog

相关文章

阅读更多 »