DEEPDATA Зловреден софтуер

Актьор на заплаха, работещ под псевдонима BrazenBamboo, е използвал непоправена уязвимост във FortiClient на Fortinet за Windows, за да събира идентификационни данни за VPN. Тази дейност е част от сложна модулна рамка, наричана DEEPDATA.

Изследователи, анализиращи тази кампания, разкриха използването на уязвимостта при разкриване на идентификационни данни за нулев ден през юли 2024 г. Те приписаха разработката на DEEPDATA, DEEPPOST и LightSpy на BrazenBamboo.

Какво представлява зловреден софтуер DEEPDATA

DEEPDATA е модулен инструмент след експлоатация, предназначен за операционната система Windows, способен да събира обширна информация от компрометирани устройства. Първоначално беше обърнато внимание, когато специалисти по киберсигурност анализираха базираната на Windows рамка за наблюдение, свързвайки я със свързания с Китай заплаха APT41. DEEPDATA се използва за извличане на данни от комуникационни платформи като WhatsApp, Telegram, Signal, WeChat, LINE, QQ и Skype, както и Microsoft Outlook, DingDing, Feishu, KeePass, идентификационни данни за приложения, данни на браузъра, Wi-Fi мрежи и инсталиран софтуер.

В основата на DEEPDATA е товарач на библиотека с динамични връзки (DLL), известен като data.dll, който е проектиран да декриптира и внедри 12 отделни плъгина чрез модул за оркестрация, наречен frame.dll. Сред тези плъгини е наскоро идентифициран FortiClient DLL, способен да събира идентификационни данни за VPN.

Този плъгин се възползва от непоправена уязвимост на нулевия ден във Fortinet VPN клиента за Windows. Използвайки този пропуск, той извлича потребителски идентификационни данни директно от паметта на процеса на клиента.

Други вредни заплахи Част от арсенала на BrazenBamboo

Откакто създаде шпионския имплант LightSpy през 2022 г., атакуващият последователно се фокусира върху стратегическо насочване към комуникационни платформи, като дава приоритет на стелт и устойчив достъп. Windows версията на LightSpy се различава от другите варианти на ОС по своята архитектура. Той се внедрява чрез инсталатор, който зарежда библиотека за изпълнение на shellcode в паметта. След това този шелкод изтегля и декодира компонента на оркестратора от командно-контролния сървър. Оркестраторът се активира от товарач, наречен BH_A006, който преди това е бил свързван с предполагаемата китайска заплашителна група „Космически пирати“, известна с набелязването на руски организации.

Друг инструмент в арсенала от зловреден софтуер на BrazenBamboo е DEEPPOST, инструмент за ексфилтриране на данни след експлоатация, способен да изпраща файлове до отдалечена крайна точка. Заедно DEEPDATA и DEEPPOST значително подобряват възможностите на заплахата за кибершпионаж, надграждайки предишната работа с LightSpy, която сега е насочена към macOS, iOS и Windows.

Има забележителни прилики в кода и инфраструктурата между LightSpy и DEEPDATA, което показва, че и двете фамилии зловреден софтуер вероятно са разработени от едно и също частно предприятие, потенциално сключено за създаване на хакерски инструменти за държавна употреба.