Das Arctic Wolf Labs hat einen Cyberstrike-Harvester-Binärcode sichergestellt und so dessen Rolle innerhalb des Fortibleed-Angriffsablaufs untersucht. Fortibleed ist eine Hackerkampagne, die neulich 74'000 Fortinet-Firewalls kompromittiert hatte. Die Kampagne basiert laut Arctic Wolf nicht auf dem Einsatz von Malware, sondern nutzt eine mehrstufige Credential-Pipeline, die auf Credential Stuffing, Password Spraying, dem Harvesting von Konfigurationsdaten, Offline-Cracking sowie der Verarbeitung nach erfolgreicher Authentifizierung beruht.

Die Analyse des Binärcodes zeigt, wie er passive, von Fortigate abgeleitete Netzwerkaufzeichnungen in verwertbare Anmeldedaten, knackbare Hashes, Web-Sitzungen, Identitätsinformationen und Eingaben für nachfolgende Angriffe umwandelt. Die Angreifer würden so kompromittierte Fortigate-Zugänge in eine wiederholt einsetzbare "Credential Factory" überführen, um daraus weitere Zugangsdaten, interne Zugriffswege und potenzielle Möglichkeiten zur Datenexfiltration abzuleiten. Da es sich laut Arctic Wolf nicht um einen generischen Parser für Packet Captures handelt, wurden die Tools gezielt an die Artefakte kompromittierter Fortigate-Capture- und Session-Workflows angepasst.

Die Forscher stufen das Risiko als hoch ein. Zudem sollen technische Patches allein nicht ausreichen. Deshalb empfehlen sie Unternehmen:

Bisher konnte die Kampagne keinem bekannten Bedrohungsakteur zugeordnet werden. Das Arctic Wolf Lab geht aber laut Bericht davon aus, dass es sich um einen russischsprachigen Angreifer handeln könnte. Dafür würden Branding des Tools (Cyberstrike), ein im Telegram-Bot beobachteter Operator-Handle (Clarksome) sowie russischsprachige UI- und Status-Strings sprechen.