Nguyễn Tiến Đạt
Intern Writer
Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một chiến dịch tấn công mới, trong đó tin tặc lợi dụng thiết bị tường lửa thế hệ mới FortiGate (NGFW) làm điểm xâm nhập để tấn công mạng của tổ chức.
Theo báo cáo của SentinelOne công bố ngày 10/3/2026, chiến dịch này khai thác các lỗ hổng bảo mật mới hoặc sử dụng thông tin đăng nhập yếu để trích xuất tệp cấu hình hệ thống. Những tệp này chứa thông tin đăng nhập tài khoản dịch vụ cũng như dữ liệu về cấu trúc mạng nội bộ.
Các mục tiêu bị nhắm tới bao gồm tổ chức trong lĩnh vực chăm sóc sức khỏe, cơ quan chính phủ và các nhà cung cấp dịch vụ quản lý (MSP).
Các nhà nghiên cứu Alex Delamotte, Stephen Bromfield, Mary Braden Murphy và Amey Patne cho biết thiết bị FortiGate thường có quyền truy cập sâu vào môi trường mà chúng bảo vệ. Trong nhiều hệ thống, thiết bị này kết nối với hạ tầng xác thực như Active Directory (AD) và LDAP.
Nhờ cấu hình này, FortiGate có thể gán quyền truy cập cho người dùng bằng cách đối chiếu thông tin kết nối với dữ liệu thư mục. Điều này giúp thiết lập chính sách bảo mật theo vai trò và tăng tốc phản hồi khi phát hiện cảnh báo an ninh.
Tuy nhiên, quyền truy cập sâu như vậy cũng trở thành mục tiêu hấp dẫn đối với tin tặc.
Trong một vụ việc xảy ra tháng 11/2025, tin tặc đã truy cập vào thiết bị FortiGate và tạo tài khoản quản trị cục bộ mới có tên “support”. Sau đó, chúng thiết lập bốn chính sách tường lửa mới cho phép tài khoản này truy cập không hạn chế vào tất cả các vùng mạng.
Kẻ tấn công sau đó thường xuyên kiểm tra khả năng truy cập vào thiết bị. Hành vi này phù hợp với hoạt động của Initial Access Broker (IAB) – những đối tượng chuyên xâm nhập hệ thống rồi bán quyền truy cập cho các nhóm tội phạm mạng khác.
Đến tháng 2/2026, giai đoạn tiếp theo của cuộc tấn công được phát hiện khi tin tặc trích xuất tệp cấu hình chứa thông tin đăng nhập LDAP của tài khoản dịch vụ đã được mã hóa.
SentinelOne cho biết có bằng chứng cho thấy kẻ tấn công đã xác thực vào Active Directory bằng thông tin đăng nhập dạng văn bản thuần của tài khoản dịch vụ fortidcagent, cho thấy chúng đã giải mã tệp cấu hình và lấy được thông tin đăng nhập.
Sau đó, tin tặc sử dụng tài khoản dịch vụ này để đăng nhập vào hệ thống của nạn nhân và đăng ký các máy trạm giả mạo vào Active Directory nhằm mở rộng quyền truy cập.
Quá trình quét mạng nội bộ được bắt đầu, nhưng hoạt động di chuyển ngang tiếp theo đã bị chặn sau khi lỗ hổng được phát hiện.
Ngoài ra, chúng còn tải phần mềm độc hại từ kho lưu trữ đám mây bằng PowerShell thông qua hạ tầng Amazon Web Services (AWS).
Một malware Java được khởi chạy bằng kỹ thuật DLL sideloading đã được sử dụng để đánh cắp dữ liệu từ:
SentinelOne cho biết mặc dù tin tặc có thể đã cố gắng bẻ khóa mật khẩu từ dữ liệu thu thập được, nhưng chưa có bằng chứng cho thấy thông tin đăng nhập đó được sử dụng trước khi sự cố được kiểm soát.
Các chuyên gia cũng nhấn mạnh rằng thiết bị NGFW như FortiGate ngày càng phổ biến vì chúng kết hợp tường lửa với nhiều tính năng quản lý mạng, bao gồm tích hợp với Active Directory.
Tuy nhiên, chính vì quyền truy cập sâu vào hạ tầng doanh nghiệp, những thiết bị này trở thành mục tiêu có giá trị cao đối với nhiều nhóm tấn công – từ các chiến dịch gián điệp mạng do nhà nước hậu thuẫn cho đến các cuộc tấn công ransomware nhằm mục đích tài chính.
Theo báo cáo của SentinelOne công bố ngày 10/3/2026, chiến dịch này khai thác các lỗ hổng bảo mật mới hoặc sử dụng thông tin đăng nhập yếu để trích xuất tệp cấu hình hệ thống. Những tệp này chứa thông tin đăng nhập tài khoản dịch vụ cũng như dữ liệu về cấu trúc mạng nội bộ.
Các mục tiêu bị nhắm tới bao gồm tổ chức trong lĩnh vực chăm sóc sức khỏe, cơ quan chính phủ và các nhà cung cấp dịch vụ quản lý (MSP).
Các nhà nghiên cứu Alex Delamotte, Stephen Bromfield, Mary Braden Murphy và Amey Patne cho biết thiết bị FortiGate thường có quyền truy cập sâu vào môi trường mà chúng bảo vệ. Trong nhiều hệ thống, thiết bị này kết nối với hạ tầng xác thực như Active Directory (AD) và LDAP.
Nhờ cấu hình này, FortiGate có thể gán quyền truy cập cho người dùng bằng cách đối chiếu thông tin kết nối với dữ liệu thư mục. Điều này giúp thiết lập chính sách bảo mật theo vai trò và tăng tốc phản hồi khi phát hiện cảnh báo an ninh.
Tuy nhiên, quyền truy cập sâu như vậy cũng trở thành mục tiêu hấp dẫn đối với tin tặc.
Tin tặc khai thác lỗ hổng FortiGate để chiếm quyền hệ thống
SentinelOne cho biết kẻ tấn công có thể xâm nhập thiết bị FortiGate thông qua các lỗ hổng bảo mật đã biết như:- CVE-2025-59718
- CVE-2025-59719
- CVE-2026-24858
Trong một vụ việc xảy ra tháng 11/2025, tin tặc đã truy cập vào thiết bị FortiGate và tạo tài khoản quản trị cục bộ mới có tên “support”. Sau đó, chúng thiết lập bốn chính sách tường lửa mới cho phép tài khoản này truy cập không hạn chế vào tất cả các vùng mạng.
Kẻ tấn công sau đó thường xuyên kiểm tra khả năng truy cập vào thiết bị. Hành vi này phù hợp với hoạt động của Initial Access Broker (IAB) – những đối tượng chuyên xâm nhập hệ thống rồi bán quyền truy cập cho các nhóm tội phạm mạng khác.
Đến tháng 2/2026, giai đoạn tiếp theo của cuộc tấn công được phát hiện khi tin tặc trích xuất tệp cấu hình chứa thông tin đăng nhập LDAP của tài khoản dịch vụ đã được mã hóa.
SentinelOne cho biết có bằng chứng cho thấy kẻ tấn công đã xác thực vào Active Directory bằng thông tin đăng nhập dạng văn bản thuần của tài khoản dịch vụ fortidcagent, cho thấy chúng đã giải mã tệp cấu hình và lấy được thông tin đăng nhập.
Sau đó, tin tặc sử dụng tài khoản dịch vụ này để đăng nhập vào hệ thống của nạn nhân và đăng ký các máy trạm giả mạo vào Active Directory nhằm mở rộng quyền truy cập.
Quá trình quét mạng nội bộ được bắt đầu, nhưng hoạt động di chuyển ngang tiếp theo đã bị chặn sau khi lỗ hổng được phát hiện.
Malware và công cụ truy cập từ xa được triển khai sau khi xâm nhập
Trong một vụ việc khác xảy ra vào cuối tháng 1/2026, tin tặc nhanh chóng chuyển từ truy cập tường lửa sang triển khai các công cụ truy cập từ xa như Pulseway và MeshAgent.Ngoài ra, chúng còn tải phần mềm độc hại từ kho lưu trữ đám mây bằng PowerShell thông qua hạ tầng Amazon Web Services (AWS).
Một malware Java được khởi chạy bằng kỹ thuật DLL sideloading đã được sử dụng để đánh cắp dữ liệu từ:
- Tệp NTDS.dit (cơ sở dữ liệu Active Directory)
- Nhánh đăng ký SYSTEM
SentinelOne cho biết mặc dù tin tặc có thể đã cố gắng bẻ khóa mật khẩu từ dữ liệu thu thập được, nhưng chưa có bằng chứng cho thấy thông tin đăng nhập đó được sử dụng trước khi sự cố được kiểm soát.
Các chuyên gia cũng nhấn mạnh rằng thiết bị NGFW như FortiGate ngày càng phổ biến vì chúng kết hợp tường lửa với nhiều tính năng quản lý mạng, bao gồm tích hợp với Active Directory.
Tuy nhiên, chính vì quyền truy cập sâu vào hạ tầng doanh nghiệp, những thiết bị này trở thành mục tiêu có giá trị cao đối với nhiều nhóm tấn công – từ các chiến dịch gián điệp mạng do nhà nước hậu thuẫn cho đến các cuộc tấn công ransomware nhằm mục đích tài chính.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview