สรุปสั้น
นักวิจัยจาก Arctic Wolf เปิดเผยแคมเปญที่ยังคงโจมตีช่องโหว่ร้ายแรง CVE-2026-35616 (CVSS 9.1) ใน FortiClient Endpoint Management Server (EMS) เพื่อส่งมัลแวร์ประเภทขโมยข้อมูล (credential stealer) ช่องโหว่นี้เป็นแบบ pre-authentication API access bypass ที่นำไปสู่การยกระดับสิทธิ์ (privilege escalation) ทำให้แฮ็กเกอร์เข้าถึงและแก้ไข configuration ของ EMS ได้ เมื่อยึดระบบได้แล้วผู้โจมตีจะแก้ไข Remote Access Profile และ endpoint policy เพื่อแทรกสคริปต์ที่เป็นอันตราย จากนั้นใช้ช่องทางจัดการ endpoint ของ FortiClient เองสั่งคำสั่ง PowerShell ไปยังทุกเครื่องที่อยู่ภายใต้การจัดการ มัลแวร์ปลอมตัวเป็นไฟล์อัปเดตชื่อ FortiEndpoint_Patch.exe และขโมยรหัสผ่าน คุกกี้ และข้อมูล autofill เช่น เลขบัตรเครดิต Fortinet ได้แก้ไขช่องโหว่นี้แล้วใน FortiClient EMS เวอร์ชัน 7.4.7 ขึ้นไป
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 28 พฤษภาคม 2569 ว่า Arctic Wolf พบกิจกรรมการโจมตีนี้ในเดือนพฤษภาคม 2569 โดยแฮ็กเกอร์อาศัยโครงสร้างพื้นฐานการจัดการ endpoint ที่องค์กรไว้วางใจเป็นช่องทางส่งมัลแวร์ “แคมเปญนี้ใช้โครงสร้างจัดการ endpoint ที่เชื่อถือได้ส่งมัลแวร์ข้ามไปยังเครื่องที่จัดการอยู่” Arctic Wolf ระบุ พร้อมอธิบายว่าผู้โจมตีอำพรางเพย์โหลดขโมยรหัสผ่านให้เหมือนการอัปเดต Fortinet endpoint แล้วรันไฟล์อันตรายเงียบ ๆ ผ่าน PowerShell หลังเจาะระบบสำเร็จ แฮ็กเกอร์จะแก้ไข configuration เพื่อเลื่อนการแจ้งเตือนอัปเกรด firmware ออกไป และแก้ไข endpoint policy เพื่อแทรกสคริปต์รันบนอุปกรณ์ปลายทาง รูปแบบการทำงานที่สังเกตได้ชี้ว่าผู้โจมตีใช้เส้นทางจัดการของ FortiClient เองผลักดันคำสั่ง PowerShell ในลักษณะที่ดูเหมือนปฏิบัติการจัดการปกติ เมื่อมีช่องทางแก้ไข configuration ที่ EMS จัดการ ทุก endpoint จึงกลายเป็นเป้าหมายการรันโค้ดโดยไม่ต้องเจาะทีละเครื่อง
วิธีการโจมตี

การโจมตีอาศัยไฟล์ที่ถูกต้องตามกฎหมายชื่อ fortitray.exe ซึ่งเป็น executable ของ FortiClient เพื่อเรียกใช้ไฟล์สคริปต์ .cmd ผ่าน cmd.exe สคริปต์ .cmd นี้ออกแบบมาเพื่อเรียก PowerShell script ที่เข้ารหัสแบบ Base64 ซึ่งทำหน้าที่ดาวน์โหลดเพย์โหลด รันมัน และส่งผลลัพธ์กลับไปยังเซิร์ฟเวอร์ของผู้โจมตีที่ IP 83.138.53[.]110 ผ่าน HTTP POST ส่วนตัว executable ชื่อ FortiEndpoint_Patch.exe เป็นมัลแวร์ขโมยข้อมูลบน Windows ที่ไม่เคยมีรายงานมาก่อน สามารถเก็บข้อมูลสำคัญ เช่น รหัสผ่าน คุกกี้ และ autofill (เลขบัตรเครดิต ที่อยู่ เบอร์โทร) จากเบราว์เซอร์ที่ใช้ Chromium และ Gecko ข้อมูลถูกเขียนลง log file ในไดเรกทอรี ProgramData ที่น่าสังเกตคือตัว stealer เองไม่มีความสามารถส่งข้อมูลออกทางเครือข่าย แต่อาศัย PowerShell script เป็นตัวส่งข้อมูลที่ขโมยได้ออกไป Arctic Wolf เตือนว่า session cookies และ credential ที่บันทึกไว้ในเบราว์เซอร์อาจเปิดทางให้ผู้โจมตีเข้าถึงบริการคลาวด์ แอปภายใน และทรัพยากรอื่นต่อเนื่อง รวมถึงกรณีที่การนำ session กลับมาใช้ซ้ำสามารถหลบ MFA ได้
ผลกระทบต่อไทย
ผลิตภัณฑ์ Fortinet โดยเฉพาะ FortiClient และ FortiClient EMS ถูกใช้แพร่หลายในองค์กรไทยทั้งภาครัฐและเอกชนในฐานะโซลูชัน endpoint security และ VPN ช่องโหว่ระดับ pre-authentication ที่ยกระดับเป็น privilege escalation ทำให้ผู้ดูแลระบบในไทยที่ยังไม่อัปเดต EMS มีความเสี่ยงสูงมาก เพราะการเจาะ EMS เพียงจุดเดียวเปิดทางให้ผู้โจมตีสั่งรันโค้ดบนทุก endpoint ที่จัดการอยู่ในคราวเดียว ซึ่งอาจหมายถึงเครื่องทั้งองค์กร นอกจากนี้มัลแวร์ที่ปลอมตัวเป็นแพตช์ Fortinet ยังหลอกผู้ใช้และทีม IT ได้ง่าย องค์กรที่ใช้ FortiClient EMS จึงควรตรวจสอบเวอร์ชันและสัญญาณการบุกรุกโดยเร่งด่วน
คำแนะนำ
- อัปเดต FortiClient EMS เป็นเวอร์ชัน 7.4.7 หรือใหม่กว่าทันที เพื่อปิดช่องโหว่ CVE-2026-35616
- ตรวจสอบ configuration ของ EMS ว่ามีการแก้ไข Remote Access Profile หรือ endpoint policy ที่ผิดปกติหรือไม่
- บล็อกการเชื่อมต่อไปยัง IP
83.138.53[.]110และตรวจ log การเชื่อมต่อ - ตรวจหาไฟล์ FortiEndpoint_Patch.exe และ log file ที่ผิดปกติในไดเรกทอรี ProgramData
- เฝ้าระวัง PowerShell ที่ถูกเรียกผ่าน fortitray.exe / cmd.exe ในรูปแบบที่ดูเหมือนงานจัดการปกติ
- รีเซ็ตรหัสผ่านและ session หากพบสัญญาณบุกรุก เนื่องจาก session reuse อาจหลบ MFA ได้
