Programari maliciós DEEPDATA

Un actor d'amenaces que opera sota l'àlies BrazenBamboo ha aprofitat una vulnerabilitat sense pegats al FortiClient per a Windows de Fortinet per recollir credencials VPN. Aquesta activitat forma part d'un marc modular sofisticat anomenat DEEPDATA.

Els investigadors que van analitzar aquesta campanya van descobrir l'explotació de la vulnerabilitat de divulgació de credencials de dia zero el juliol de 2024. Han atribuït el desenvolupament de DEEPDATA, DEEPPOST i LightSpy a BrazenBamboo.

Què és el programari maliciós DEEPDATA

DEEPDATA és una eina modular de post-explotació dissenyada per al sistema operatiu Windows, capaç de recollir àmplia informació de dispositius compromesos. Inicialment es va cridar l'atenció quan els especialistes en ciberseguretat van analitzar el marc de vigilància basat en Windows, vinculant-lo a l'actor d'amenaça APT41 associat a la Xina. DEEPDATA s'ha utilitzat per extreure dades de plataformes de comunicació com WhatsApp, Telegram, Signal, WeChat, LINE, QQ i Skype, així com Microsoft Outlook, DingDing, Feishu, KeePass, credencials de l'aplicació, dades del navegador, xarxes Wi-Fi i programari instal·lat.

Al cor de DEEPDATA hi ha un carregador de biblioteca d'enllaços dinàmics (DLL) conegut com a data.dll, que està dissenyat per desxifrar i desplegar 12 connectors diferents mitjançant un mòdul d'orquestrador anomenat frame.dll. Entre aquests connectors hi ha una DLL de FortiClient recentment identificada, capaç de recollir credencials VPN.

Aquest connector aprofita una vulnerabilitat sense pegats de dia zero al client VPN Fortinet per a Windows. Aprofitant aquest defecte, recupera les credencials de l'usuari directament de la memòria del procés del client.

Altres amenaces nocives que formen part de l'arsenal de BrazenBamboo

Des que va crear l'implant de programari espia LightSpy el 2022, l'atacant s'ha centrat constantment a orientar estratègicament les plataformes de comunicació, prioritzant el sigil i l'accés sostingut. La versió de Windows de LightSpy difereix d'altres variants del sistema operatiu en la seva arquitectura. Es desplega mitjançant un instal·lador que carrega una biblioteca per executar shellcode a la memòria. A continuació, aquest shellcode baixa i descodifica el component orquestrator des del servidor d'ordres i control. L'orquestrador està activat per un carregador anomenat BH_A006, que s'ha associat prèviament amb el presumpte grup d'amenaça xinès "Pirates espacials", conegut per dirigir-se a organitzacions russes.

Una altra eina de l'arsenal de programari maliciós de BrazenBamboo és DEEPPOST, una eina d'exfiltració de dades posterior a l'explotació capaç d'enviar fitxers a un punt final remot. Junts, DEEPDATA i DEEPPOST milloren significativament les capacitats d'espionatge cibernètic de l'actor d'amenaça, basant-se en el treball anterior amb LightSpy, que ara s'adreça a macOS, iOS i Windows.

Hi ha similituds notables de codi i infraestructura entre LightSpy i DEEPDATA, cosa que indica que ambdues famílies de programari maliciós probablement estan desenvolupades per la mateixa empresa privada, potencialment contractada per crear eines de pirateria per a ús governamental.