Κακόβουλο λογισμικό DEEPDATA

Ένας παράγοντας απειλών που λειτουργεί με το ψευδώνυμο BrazenBamboo έχει αξιοποιήσει μια μη επιδιορθωμένη ευπάθεια στο FortiClient για Windows της Fortinet για τη συλλογή διαπιστευτηρίων VPN. Αυτή η δραστηριότητα είναι μέρος ενός εξελιγμένου αρθρωτού πλαισίου που αναφέρεται ως DEEPDATA.

Οι ερευνητές που ανέλυσαν αυτήν την καμπάνια αποκάλυψαν την εκμετάλλευση της ευπάθειας αποκάλυψης διαπιστευτηρίων zero-day τον Ιούλιο του 2024. Έχουν αποδώσει την ανάπτυξη των DEEPDATA, DEEPPOST και LightSpy στο BrazenBamboo.

Τι είναι το κακόβουλο λογισμικό DEEPDATA

Το DEEPDATA είναι ένα αρθρωτό εργαλείο μετά την εκμετάλλευση σχεδιασμένο για το λειτουργικό σύστημα Windows, ικανό να συλλέγει εκτενείς πληροφορίες από παραβιασμένες συσκευές. Αρχικά τέθηκε υπόψη όταν ειδικοί στον τομέα της κυβερνοασφάλειας ανέλυσαν το πλαίσιο παρακολούθησης που βασίζεται στα Windows, συνδέοντάς το με τον παράγοντα απειλής APT41 που σχετίζεται με την Κίνα. Το DEEPDATA έχει χρησιμοποιηθεί για την εξαγωγή δεδομένων από πλατφόρμες επικοινωνίας όπως WhatsApp, Telegram, Signal, WeChat, LINE, QQ και Skype, καθώς και από Microsoft Outlook, DingDing, Feishu, KeePass, διαπιστευτήρια εφαρμογών, δεδομένα προγράμματος περιήγησης, δίκτυα Wi-Fi και εγκατεστημένο λογισμικό.

Στην καρδιά του DEEPDATA βρίσκεται ένας φορτωτής βιβλιοθήκης δυναμικής σύνδεσης (DLL) γνωστός ως data.dll, ο οποίος έχει σχεδιαστεί για την αποκρυπτογράφηση και την ανάπτυξη 12 διακριτών προσθηκών μέσω μιας λειτουργικής μονάδας ενορχηστρωτή που ονομάζεται frame.dll. Μεταξύ αυτών των προσθηκών είναι ένα πρόσφατα αναγνωρισμένο FortiClient DLL, ικανό να συγκεντρώνει διαπιστευτήρια VPN.

Αυτή η προσθήκη εκμεταλλεύεται μια μη επιδιορθωμένη ευπάθεια zero-day στον πελάτη Fortinet VPN για Windows. Με την εκμετάλλευση αυτού του ελαττώματος, ανακτά τα διαπιστευτήρια χρήστη απευθείας από τη μνήμη της διαδικασίας του πελάτη.

Άλλες επιβλαβείς απειλές Μέρος του BrazenBamboo Arsenal

Από τη δημιουργία του εμφυτεύματος λογισμικού κατασκοπείας LightSpy το 2022, ο εισβολέας έχει επικεντρωθεί σταθερά στη στρατηγική στόχευση πλατφορμών επικοινωνίας, δίνοντας προτεραιότητα στη μυστικότητα και τη διαρκή πρόσβαση. Η έκδοση του LightSpy για Windows διαφέρει από άλλες παραλλαγές λειτουργικού συστήματος ως προς την αρχιτεκτονική της. Αναπτύσσεται μέσω ενός προγράμματος εγκατάστασης που φορτώνει μια βιβλιοθήκη για την εκτέλεση του shellcode στη μνήμη. Αυτός ο κώδικας κελύφους στη συνέχεια κατεβάζει και αποκωδικοποιεί το στοιχείο ενορχηστρωτή από τον διακομιστή εντολών και ελέγχου. Ο ενορχηστρωτής ενεργοποιείται από έναν φορτωτή που ονομάζεται BH_A006, ο οποίος έχει συνδεθεί στο παρελθόν με την ύποπτη κινεζική ομάδα απειλών «Space Pirates», γνωστή για τη στόχευση ρωσικών οργανώσεων.

Ένα άλλο εργαλείο στο οπλοστάσιο κακόβουλου λογισμικού του BrazenBamboo είναι το DEEPPOST, ένα εργαλείο εξαγωγής δεδομένων μετά την εκμετάλλευση, ικανό να στέλνει αρχεία σε ένα απομακρυσμένο τελικό σημείο. Μαζί, το DEEPDATA και το DEEPPOST ενισχύουν σημαντικά τις δυνατότητες κατασκοπείας στον κυβερνοχώρο του ηθοποιού απειλών, αξιοποιώντας την προηγούμενη δουλειά με το LightSpy, το οποίο τώρα στοχεύει στο macOS, το iOS και τα Windows.

Υπάρχουν αξιοσημείωτες ομοιότητες κώδικα και υποδομής μεταξύ του LightSpy και του DEEPDATA, υποδεικνύοντας ότι και οι δύο οικογένειες κακόβουλου λογισμικού πιθανότατα έχουν αναπτυχθεί από την ίδια ιδιωτική επιχείρηση, η οποία ενδέχεται να έχει συμβόλαιο για τη δημιουργία εργαλείων hacking για κρατική χρήση.