DEEPDATA pahavara

Varjunime BrazenBamboo all tegutsev ohutegija on VPN-mandaatide kogumiseks kasutanud Fortineti FortiClient for Windowsi parandamata haavatavust. See tegevus on osa keerukast modulaarsest raamistikust, mida nimetatakse DEEPDATA-ks.

Seda kampaaniat analüüsinud teadlased avastasid 2024. aasta juulis nullpäevase mandaadi avalikustamise haavatavuse ärakasutamise. Nad on omistanud DEEPDATA, DEEPPOST ja LightSpy arendamise BrazenBamboole.

Mis on DEEPDATA pahavara

DEEPDATA on Windowsi operatsioonisüsteemi jaoks loodud modulaarne järelkasutamise tööriist, mis suudab koguda ulatuslikku teavet ohustatud seadmetest. Algselt juhiti sellele tähelepanu, kui küberturvalisuse spetsialistid analüüsisid Windowsi-põhist järelevalveraamistikku, sidudes selle Hiinaga seotud APT41 ohuteguriga. DEEPDATA-t on kasutatud andmete hankimiseks sideplatvormidelt nagu WhatsApp, Telegram, Signal, WeChat, LINE, QQ ja Skype, aga ka Microsoft Outlook, DingDing, Feishu, KeePass, rakenduste mandaadid, brauseri andmed, Wi-Fi-võrgud ja installitud tarkvara.

DEEPDATA keskmes on dünaamilise lingi teegi (DLL) laadija, mida tuntakse kui data.dll, mis on loodud 12 erineva pistikprogrammi dekrüpteerimiseks ja juurutamiseks orkestrimooduli frame.dll kaudu. Nende pistikprogrammide hulgas on äsja tuvastatud FortiClient DLL, mis suudab koguda VPN-i mandaate.

See pistikprogramm kasutab ära Windowsi jaoks mõeldud Fortineti VPN-kliendi parandamata nullpäeva haavatavust. Seda viga ära kasutades hangib see kasutaja mandaadid otse kliendi protsessi mälust.

Muud kahjulikud ohud, mis kuuluvad BrazenBamboo arsenali

Alates LightSpy nuhkvaraimplantaadi loomisest 2022. aastal on ründaja järjekindlalt keskendunud suhtlusplatvormide strateegilisele sihtimisele, seades esikohale varguse ja pideva juurdepääsu. LightSpy Windowsi versioon erineb teistest OS-i variantidest oma arhitektuuri poolest. See juurutatakse installiprogrammi kaudu, mis laadib teegi, et käivitada mällu shellkood. Seejärel laadib see shellkood alla ja dekodeerib käsu- ja juhtimisserverist orkestraatori komponendi. Orkestri aktiveerib laadur nimega BH_A006, mida on varem seostatud kahtlustatava Hiina ohurühmaga "Space Pirates", mis on tuntud Venemaa organisatsioonide sihtmärgina.

Teine tööriist BrazenBamboo pahavara arsenalis on DEEPPOST, ekspluatatsioonijärgne andmete eksfiltreerimise tööriist, mis suudab faile kauglõpp-punkti saata. DEEPDATA ja DEEPPOST koos suurendavad märkimisväärselt ohus osaleja küberspionaaži võimalusi, tuginedes varasemale tööle LightSpyga, mis on nüüd suunatud macOS-ile, iOS-ile ja Windowsile.

LightSpy ja DEEPDATA vahel on märkimisväärseid koodide ja infrastruktuuri sarnasusi, mis näitab, et mõlemad pahavaraperekonnad on tõenäoliselt välja töötatud sama eraettevõtte poolt, kellega võib sõlmida leping riigisiseseks kasutamiseks mõeldud häkkimistööriistade loomiseks.