DEEPDATA Malware

En trusselsaktør, der opererer under aliaset BrazenBamboo, har udnyttet en uoprettet sårbarhed i Fortinets FortiClient for Windows til at høste VPN-legitimationsoplysninger. Denne aktivitet er en del af en sofistikeret modulær ramme kaldet DEEPDATA.

Forskere, der analyserede denne kampagne, afslørede udnyttelsen af nul-dages sårbarhed over for afsløring af legitimationsoplysninger i juli 2024. De har tilskrevet udviklingen af DEEPDATA, DEEPPOST og LightSpy til BrazenBamboo.

Hvad er DEEPDATA Malware

DEEPDATA er et modulært post-udnyttelsesværktøj designet til Windows-operativsystemet, der er i stand til at indsamle omfattende information fra kompromitterede enheder. Det blev i første omgang gjort opmærksom på, da cybersikkerhedsspecialister analyserede den Windows-baserede overvågningsramme og kædede den sammen med den Kina-associerede APT41-trusselsaktør. DEEPDATA er blevet brugt til at udtrække data fra kommunikationsplatforme som WhatsApp, Telegram, Signal, WeChat, LINE, QQ og Skype, såvel som Microsoft Outlook, DingDing, Feishu, KeePass, applikationslegitimationsoplysninger, browserdata, Wi-Fi-netværk og installeret software.

I hjertet af DEEPDATA er en dynamic-link library (DLL) loader kendt som data.dll, som er designet til at dekryptere og implementere 12 forskellige plugins via et orkestratormodul ved navn frame.dll. Blandt disse plugins er en nyligt identificeret FortiClient DLL, der er i stand til at høste VPN-legitimationsoplysninger.

Dette plugin udnytter en uoprettet nul-dages sårbarhed i Fortinet VPN-klienten til Windows. Ved at udnytte denne fejl, henter den brugerlegitimationsoplysninger direkte fra hukommelsen af klientens proces.

Andre skadelige trusler En del af BrazenBamboo Arsenal

Siden oprettelsen af LightSpy spyware-implantatet i 2022, har angriberen konsekvent fokuseret på strategisk målretning af kommunikationsplatforme, prioriteret stealth og vedvarende adgang. Windows-versionen af LightSpy adskiller sig fra andre OS-varianter i sin arkitektur. Det implementeres gennem et installationsprogram, der indlæser et bibliotek for at udføre shellcode i hukommelsen. Denne shellcode downloader og afkoder derefter orkestratorkomponenten fra kommando-og-kontrolserveren. Orkestratoren aktiveres af en loader kaldet BH_A006, som tidligere har været forbundet med den formodede kinesiske trusselgruppe 'Space Pirates', kendt for at angribe russiske organisationer.

Et andet værktøj i BrazenBamboos malware-arsenal er DEEPPOST, et dataeksfiltreringsværktøj efter udnyttelse, der er i stand til at sende filer til et eksternt slutpunkt. Sammen forbedrer DEEPDATA og DEEPPOST trusselsaktørens cyberspionagekapacitet markant, idet de bygger videre på det tidligere arbejde med LightSpy, som nu er rettet mod macOS, iOS og Windows.

Der er bemærkelsesværdige kode- og infrastruktur-ligheder mellem LightSpy og DEEPDATA, hvilket indikerer, at begge malware-familier sandsynligvis er udviklet af den samme private virksomhed, potentielt indgået i kontrakter for at skabe hacking-værktøjer til offentlig brug.