DEEPDATA Malware

Hrozba působící pod aliasem BrazenBamboo využila neopravenou zranitelnost FortiClient for Windows společnosti Fortinet ke sběru přihlašovacích údajů VPN. Tato aktivita je součástí sofistikovaného modulárního rámce označovaného jako DEEPDATA.

Výzkumníci, kteří analyzovali tuto kampaň, odhalili v červenci 2024 zneužití zranitelnosti prozrazení pověření v nultém dni. Vývoj DEEPDATA, DEEPPOST a LightSpy připsali BrazenBamboo.

Co je to malware DEEPDATA

DEEPDATA je modulární nástroj po zneužití určený pro operační systém Windows, schopný shromažďovat rozsáhlé informace z napadených zařízení. Zpočátku na něj byla upozorněna, když specialisté na kybernetickou bezpečnost analyzovali sledovací rámec založený na systému Windows a propojili jej s aktérem hrozeb APT41 spojeným s Čínou. DEEPDATA se používá k extrahování dat z komunikačních platforem, jako je WhatsApp, Telegram, Signal, WeChat, LINE, QQ a Skype, stejně jako Microsoft Outlook, DingDing, Feishu, KeePass, přihlašovací údaje aplikací, data prohlížeče, sítě Wi-Fi a nainstalovaný software.

Srdcem DEEPDATA je zavaděč dynamických knihoven (DLL) známý jako data.dll, který je navržen k dešifrování a nasazení 12 různých zásuvných modulů prostřednictvím modulu orchestrátoru s názvem frame.dll. Mezi těmito pluginy je nově identifikovaná knihovna FortiClient DLL, která je schopna sklízet přihlašovací údaje VPN.

Tento plugin využívá neopravenou zero-day zranitelnost v klientovi Fortinet VPN pro Windows. Využitím této chyby získává uživatelská pověření přímo z paměti klientského procesu.

Jiné škodlivé hrozby Součást arzenálu BrazenBamboo

Od vytvoření spywarového implantátu LightSpy v roce 2022 se útočník soustavně soustředil na strategické zacílení komunikačních platforem, upřednostňoval utajení a trvalý přístup. Verze LightSpy pro Windows se od ostatních variant OS liší svou architekturou. Nasazuje se prostřednictvím instalačního programu, který načte knihovnu pro spuštění shell kódu v paměti. Tento shell kód pak stáhne a dekóduje komponentu orchestrátoru z příkazového a řídicího serveru. Orchestrátor je aktivován zavaděčem nazvaným BH_A006, který byl dříve spojován s podezřelou čínskou skupinou hrozeb 'Vesmírní piráti', která je známá tím, že se zaměřuje na ruské organizace.

Dalším nástrojem v malwarovém arzenálu BrazenBamboo je DEEPPOST, nástroj pro exfiltraci dat po exploataci schopný odesílat soubory do vzdáleného koncového bodu. DEEPDATA a DEEPPOST společně výrazně rozšiřují možnosti kybernetické špionáže aktéra ohrožení, přičemž staví na dřívější práci s LightSpy, která se nyní zaměřuje na macOS, iOS a Windows.

Mezi LightSpy a DEEPDATA existují pozoruhodné podobnosti v kódu a infrastruktuře, což naznačuje, že obě rodiny malwaru jsou pravděpodobně vyvinuty stejným soukromým podnikem, který je potenciálně kontrahován k vytvoření hackerských nástrojů pro vládní použití.