برنامج DEEPDATA الخبيث

استغل أحد الجهات الفاعلة التي تعمل تحت الاسم المستعار BrazenBamboo ثغرة غير مُعالجة في برنامج FortiClient for Windows التابع لشركة Fortinet لجمع بيانات اعتماد VPN. هذا النشاط هو جزء من إطار عمل معياري متطور يُشار إليه باسم DEEPDATA.

اكتشف الباحثون الذين قاموا بتحليل هذه الحملة استغلال ثغرة الكشف عن بيانات الاعتماد في اليوم صفر في يوليو 2024. وقد نسبوا تطوير DEEPDATA وDEEPPOST وLightSpy إلى BrazenBamboo.

ما هو برنامج DEEPDATA الخبيث؟

DEEPDATA هي أداة استغلال معيارية مصممة لنظام التشغيل Windows، وقادرة على جمع معلومات واسعة النطاق من الأجهزة المخترقة. وقد تم لفت الانتباه إليها في البداية عندما قام متخصصو الأمن السيبراني بتحليل إطار المراقبة المستند إلى Windows، وربطوه بجهة التهديد APT41 المرتبطة بالصين. تم استخدام DEEPDATA لاستخراج البيانات من منصات الاتصال مثل WhatsApp وTelegram وSignal وWeChat وLINE وQQ وSkype، بالإضافة إلى Microsoft Outlook وDingDing وFeishu وKeePass وبيانات اعتماد التطبيق وبيانات المتصفح وشبكات Wi-Fi والبرامج المثبتة.

في قلب DEEPDATA يوجد مُحمِّل مكتبة ارتباط ديناميكي (DLL) يُعرف باسم data.dll، وهو مصمم لفك تشفير ونشر 12 مكونًا إضافيًا مميزًا عبر وحدة تنسيق تسمى frame.dll. ومن بين هذه المكونات الإضافية مكتبة ارتباط ديناميكي (DLL) FortiClient تم التعرف عليها حديثًا، وهي قادرة على جمع بيانات اعتماد VPN.

يستغل هذا المكون الإضافي ثغرة أمنية غير مُعالجة في عميل VPN الخاص بـ Fortinet لنظام التشغيل Windows. ومن خلال استغلال هذه الثغرة، فإنه يسترد بيانات اعتماد المستخدم مباشرةً من ذاكرة عملية العميل.

تهديدات ضارة أخرى تشكل جزءًا من ترسانة برازين بامبو

منذ إنشاء برنامج التجسس LightSpy المزروع في عام 2022، ركز المهاجم باستمرار على استهداف منصات الاتصال بشكل استراتيجي، مع إعطاء الأولوية للتخفي والوصول المستمر. يختلف إصدار Windows من LightSpy عن إصدارات أنظمة التشغيل الأخرى في بنيته. يتم نشره من خلال برنامج تثبيت يقوم بتحميل مكتبة لتنفيذ shellcode في الذاكرة. ثم يقوم shellcode هذا بتنزيل وفك تشفير مكون الأوركستراكتور من خادم الأوامر والتحكم. يتم تنشيط الأوركستراكتور بواسطة محمل يسمى BH_A006، والذي ارتبط سابقًا بمجموعة التهديد الصينية المشتبه بها "Space Pirates"، والمعروفة باستهداف المنظمات الروسية.

أداة أخرى في ترسانة البرامج الضارة الخاصة بشركة BrazenBamboo هي DEEPPOST، وهي أداة لاستخراج البيانات بعد الاستغلال قادرة على إرسال الملفات إلى نقطة نهاية بعيدة. تعمل DEEPDATA وDEEPPOST معًا على تعزيز قدرات التجسس السيبراني للجهات الفاعلة المهددة بشكل كبير، بناءً على العمل السابق مع LightSpy، الذي يستهدف الآن أنظمة macOS وiOS وWindows.

توجد أوجه تشابه ملحوظة في الكود والبنية الأساسية بين LightSpy و DEEPDATA، مما يشير إلى أن كلا العائلتين من البرامج الضارة من المرجح أن يتم تطويرهما بواسطة نفس المؤسسة الخاصة، والتي ربما تم التعاقد معها لإنشاء أدوات اختراق للاستخدام الحكومي.