安全团队近期再次提醒:Fortinet 端点管理平台 FortiClient EMS 在修补重大漏洞之后,仍出现被二次利用的攻击链。该平台在 4 月发布更新,修复端点管理相关的高危漏洞 CVE-2026-35616,并表示已掌握疑似被利用迹象。没想到进入 5 月后,新的攻击活动被陆续披露,攻击者并非直接反复渗透各个主机,而是把“漏洞利用 + 伪装更新”当成投递捷径,对纳入 FortiClient EMS 管理范围的设备下手。
据安防厂商 Arctic Wolf 的分析,攻击者利用 CVE-2026-35616 执行恶意操作,将窃取型恶意软件 EKZ Infostealer 部署到受控端点。更关键的是,EKZ Infostealer 的有效载荷会被伪装成 Fortinet 的端点更新文件(看起来像正常补丁),以降低用户或安全设备的警惕。一旦文件被执行,受害电脑会在后台拉起 PowerShell,再启动后续的恶意执行程序,进而完成整套攻击步骤。
攻击方式也更“省事”:黑客滥用 FortiClient EMS 的管理分发机制,采用类似普通管理员操作的方式,将恶意 PowerShell 指令脚本推送到已登记的目标端点。这样一来,他们不需要逐台入侵每台机器,只要让平台把恶意内容“替他们送达”,影响面会被快速扩大。
EKZ Infostealer 具备多浏览器数据窃取能力。它可从 Chromium 内核的 Chrome、Edge 等浏览器,以及基于 Gecko 的 Firefox 等环境中收集信息,重点包括凭证、Cookie、以及浏览器自动填写的数据。更麻烦的是,当攻击者取得这些内容后,可能进一步访问云端服务与内部应用资源;另外,若能获取会话阶段(session)相关的资料,还可能绕过部分多因素认证流程(MFA),让“看似已完成验证”的入口再次失守。
目前建议组织尽快确认 FortiClient EMS 是否已完成官方修复,并检查是否存在用“补丁更新”名义投递的可疑文件与后台 PowerShell 行为。同时,对纳管端点的日志、异常分发记录和浏览器凭证外泄迹象进行重点排查,尽早切断利用链条。
