FortiGate, Citrix i phishing w Teams: cichy wzrost presji w krajobrazie zagrożeń

Wprowadzenie do problemu / definicja

Marcowy obraz zagrożeń cybernetycznych pokazuje, iż organizacje coraz rzadziej mierzą się z pojedynczymi, odosobnionymi incydentami. Zamiast tego obserwowany jest równoległy wzrost wielu kampanii, które łączą wykorzystanie znanych podatności, socjotechnikę oraz gotowe modele cyberprzestępcze, takie jak ransomware-as-a-service.

Na pierwszy plan wysuwają się ataki na urządzenia brzegowe, nadużycia legalnych narzędzi administracyjnych oraz techniki pozwalające omijać mechanizmy ochronne. W praktyce oznacza to, iż zagrożenia nie muszą być szczególnie nowatorskie, aby pozostawały skuteczne i kosztowne dla ofiar.

W skrócie

• Grupa The Gentlemen wykorzystuje krytyczną lukę CVE-2024-55591 w FortiOS i FortiProxy do uzyskiwania dostępu początkowego.
• Rośnie liczba prób eksploatacji podatności w Citrix NetScaler, co wskazuje na masowe skanowanie i automatyzację ataków.
• Cyberprzestępcy coraz częściej prowadzą phishing w Microsoft Teams, podszywając się pod działy IT.
• Nowe techniki, takie jak nadużycia deep linków i konfiguracji MCP, zwiększają ryzyko lokalnego wykonania poleceń.
• Badacze opisali też nowe łańcuchy dostarczania malware, kampanie kradzieży danych przez czaty na żywo oraz problem wycieków sekretów w publicznych repozytoriach.

Kontekst / historia

Model ransomware-as-a-service od lat opiera się na współpracy operatorów i afiliantów. Jedni utrzymują zaplecze techniczne, inni odpowiadają za włamania i uruchamianie ładunków szyfrujących. Nowa grupa The Gentlemen wpisuje się w ten schemat, ale jej pojawienie się ma dodatkowy wymiar: według ustaleń badaczy operacja wyłoniła się po sporze finansowym w innym środowisku ransomware.

To kolejny sygnał, iż przestępczy ekosystem pozostaje bardzo elastyczny. Nowe marki mogą powstawać szybko, korzystając z istniejącej infrastruktury, kompetencji i kontaktów. Jednocześnie utrzymuje się trend wykorzystywania urządzeń wystawionych do internetu jako punktów wejścia do sieci organizacji, co dotyczy m.in. FortiGate i Citrix NetScaler.

Równolegle rośnie znaczenie socjotechniki prowadzonej w kanałach postrzeganych jako zaufane. Microsoft Teams czy czaty obsługi klienta stają się naturalnym środowiskiem dla atakujących, ponieważ użytkownicy częściej obdarzają takie komunikaty zaufaniem i rzadziej traktują je jako potencjalnie złośliwe.

Analiza techniczna

Najważniejszym elementem zestawienia jest aktywność grupy The Gentlemen. Badacze wskazują, iż zespół liczy około 20 osób i wykorzystuje przede wszystkim CVE-2024-55591, czyli krytyczną lukę obejścia uwierzytelnienia w FortiOS i FortiProxy. Po uzyskaniu dostępu atakujący mogą przejść do dalszych etapów kompromitacji środowiska.

Według dostępnych ustaleń grupa miała zgromadzić bazę około 14 700 przejętych urządzeń FortiGate oraz 969 zweryfikowanych poświadczeń VPN pozyskanych metodą brute force. Po wejściu do środowiska stosowana jest technika BYOVD, polegająca na ładowaniu podatnych sterowników w celu osłabienia lub wyłączenia zabezpieczeń działających na poziomie jądra systemu. Z działalnością grupy od połowy 2025 roku powiązano około 94 ofiary.

W zestawieniu pojawił się również istotny technicznie opis łańcucha podatności w BMC FootPrints. Cztery błędy mogą zostać połączone w scenariusz pre-auth RCE, rozpoczynający się od obejścia uwierzytelnienia i pozyskania tokenu sesyjnego, a kończący się deserializacją Javy i pełnym zdalnym wykonaniem kodu. Tego typu łańcuchy pokazują, iż choćby pojedyncze pozornie ograniczone luki mogą prowadzić do pełnej kompromitacji systemu.

Na poziomie malware uwagę zwraca Hijack Loader, który dostarcza framework C2 nazwany SnappyClient. Złośliwe oprogramowanie oferuje funkcje zrzutów ekranu, keyloggera, zdalnego terminala oraz kradzieży danych z przeglądarek i innych aplikacji. W zakresie unikania detekcji wykorzystuje m.in. obejście AMSI, Heaven’s Gate, bezpośrednie wywołania systemowe oraz transacted hollowing.

Osobną kategorię stanowi technika CursorJack. Jej istotą jest nadużycie obsługi deep linków w aplikacji Cursor oraz konfiguracji serwerów Model Context Protocol. Odpowiednio przygotowany link może skłonić użytkownika do instalacji złośliwego serwera MCP lub doprowadzić do lokalnego wykonania poleceń po zaakceptowaniu monitu. To ważne ostrzeżenie dla organizacji wdrażających narzędzia AI bez pełnych mechanizmów kontroli zaufania.

Niepokojące są także aktywne kampanie przeciwko Citrix NetScaler, obejmujące znane luki CVE-2025-5777 oraz CVE-2023-4966. W jednym z monitorowanych środowisk honeypot odnotowano ponad 500 prób wykorzystania w ciągu jednego dnia, co dobrze ilustruje skalę zautomatyzowanych działań wymierzonych w niezałatane systemy.

W warstwie socjotechnicznej szczególnie skuteczne okazują się kampanie phishingowe w Microsoft Teams. Atakujący podszywają się pod pracowników działu IT i nakłaniają ofiary do uruchomienia Quick Assist. Po uzyskaniu zdalnego dostępu mogą wdrożyć malware, wykraść dane albo rozpocząć ruch lateralny. Podobny schemat obserwowany jest w kampaniach wykorzystujących czaty na żywo do wyłudzania danych osobowych, danych kart płatniczych i kodów MFA.

Konsekwencje / ryzyko

Dla organizacji największe ryzyko wynika z nakładania się kilku trendów jednocześnie. Urządzenia brzegowe pozostają atrakcyjnym celem zautomatyzowanych kampanii, a opóźnienia w łataniu przez cały czas sprawiają, iż choćby starsze podatności pozostają skuteczne. Jednocześnie atakujący coraz częściej wykorzystują legalne narzędzia i procesy biznesowe, co utrudnia szybką identyfikację incydentu.

W przypadku FortiGate skutkiem może być pełna kompromitacja dostępu zdalnego, przejęcie sesji administracyjnych, wdrożenie ransomware i eskalacja uprawnień. W kampaniach Teams i LiveChat ryzyko nie ogranicza się do kradzieży poświadczeń, ale obejmuje także uzyskanie interaktywnego dostępu do stacji roboczej ofiary. Z kolei nadużycia związane z MCP i deep linkami pokazują, iż rozwijające się ekosystemy AI gwałtownie stają się nową powierzchnią ataku.

Rekomendacje

Priorytetem powinny być aktualizacja i audyt urządzeń brzegowych, zwłaszcza zapór, koncentratorów VPN oraz bram aplikacyjnych. Organizacje muszą zweryfikować ekspozycję na CVE-2024-55591 oraz inne aktywnie wykorzystywane luki w produktach Fortinet i Citrix. W sytuacji podejrzenia wcześniejszej kompromitacji konieczna jest nie tylko instalacja poprawek, ale również analiza logów, konfiguracji, kont administracyjnych i połączeń wychodzących.

W środowiskach endpointowych warto wzmocnić detekcję technik BYOVD, ładowania sterowników, nietypowych wywołań systemowych oraz proces hollowing. Zespoły SOC powinny korelować dane z urządzeń sieciowych, systemów EDR i infrastruktury tożsamości, aby szybciej wykrywać przejście od dostępu początkowego do ruchu lateralnego.

W obronie przed phishingiem w Teams zalecane jest ograniczenie komunikacji od zewnętrznych nadawców, stosowanie banerów ostrzegawczych oraz blokowanie lub ścisłe kontrolowanie narzędzi zdalnego wsparcia uruchamianych na żądanie użytkownika. Procedury helpdesku powinny jasno określać, jak dział IT kontaktuje się z pracownikami i kiedy dopuszczalne jest użycie narzędzi takich jak Quick Assist.

W środowiskach developerskich i projektach wykorzystujących AI należy traktować konfiguracje MCP, integracje deep link oraz zdalne serwery kontekstowe jako elementy wysokiego ryzyka. Dobrą praktyką jest ograniczanie uprawnień, walidacja źródeł konfiguracji, kontrola listy dozwolonych poleceń oraz uruchamianie takich komponentów w odseparowanych środowiskach.

Niezależnie od branży fundamentem pozostają segmentacja sieci, odporne na phishing MFA, monitorowanie kont uprzywilejowanych oraz regularne ćwiczenia reagowania na incydenty obejmujące scenariusze ransomware, przejęcia urządzeń brzegowych i oszustw wykorzystujących zdalne wsparcie.

Podsumowanie

Obecny krajobraz zagrożeń nie jest zdominowany przez pojedynczą kampanię, ale przez równoczesny wzrost presji w wielu obszarach. Ataki na FortiGate i Citrix, malware ukierunkowane na omijanie EDR, phishing w Teams oraz nowe powierzchnie ataku związane z AI tworzą środowisko sprzyjające skutecznym, powtarzalnym operacjom cyberprzestępczym.

Dla obrońców oznacza to konieczność skrócenia czasu łatania, lepszego monitorowania systemów wystawionych do internetu oraz objęcia nowych narzędzi i integracji takim samym rygorem bezpieczeństwa, jaki od lat obowiązuje w tradycyjnej infrastrukturze IT.

Źródła

1. The Hacker News — ThreatsDay Bulletin: FortiGate RaaS, Citrix Exploits, MCP Abuse, LiveChat Phish & More — https://thehackernews.com/2026/03/threatsday-bulletin-fortigate-raas.html
2. Group-IB — The Gentlemen RaaS Detailed — https://www.group-ib.com/blog/the-gentlemen-raas/
3. Proofpoint — CursorJack Abuses Deep Links for Command Execution — https://www.proofpoint.com/us/blog/threat-insight/cursorjack-abuses-deep-links-command-execution
4. Rapid7 — Spike in Phishing Campaigns Impersonating IT Staff — https://www.rapid7.com/blog/post/2026/03/teams-phishing-campaigns-impersonating-it-staff/
5. Zscaler ThreatLabz — Hijack Loader Drops SnappyClient — https://www.zscaler.com/blogs/security-research/hijack-loader-drops-snappyclient