بدافزار DEEPDATA

یک عامل تهدید که تحت نام مستعار BrazenBamboo فعالیت می‌کند، از یک آسیب‌پذیری اصلاح‌نشده در FortiClient Fortinet برای ویندوز برای جمع‌آوری اعتبار VPN استفاده کرده است. این فعالیت بخشی از یک چارچوب ماژولار پیچیده به نام DEEPDATA است.

محققانی که این کمپین را تجزیه و تحلیل کردند، در جولای 2024 از آسیب‌پذیری افشای اعتبار روز صفر استفاده کردند. آنها توسعه DEEPDATA، DEEPPOST و LightSpy را به BrazenBamboo نسبت داده‌اند.

بدافزار DEEPDATA چیست؟

DEEPDATA یک ابزار مدولار پس از بهره برداری است که برای سیستم عامل ویندوز طراحی شده است و قادر به جمع آوری اطلاعات گسترده از دستگاه های در معرض خطر است. در ابتدا زمانی مورد توجه قرار گرفت که متخصصان امنیت سایبری چارچوب نظارتی مبتنی بر ویندوز را تجزیه و تحلیل کردند و آن را به عامل تهدید APT41 مرتبط با چین مرتبط کردند. DEEPDATA برای استخراج داده‌ها از پلتفرم‌های ارتباطی مانند WhatsApp، Telegram، Signal، WeChat، LINE، QQ و Skype و همچنین Microsoft Outlook، DingDing، Feishu، KeePass، اعتبار برنامه‌ها، داده‌های مرورگر، شبکه‌های Wi-Fi و نرم افزار نصب شده

در قلب DEEPDATA یک لودر کتابخانه پیوند پویا (DLL) به نام data.dll است که برای رمزگشایی و استقرار 12 افزونه مجزا از طریق یک ماژول ارکستراتور به نام frame.dll طراحی شده است. در میان این افزونه ها یک FortiClient DLL جدید شناسایی شده است که قادر به جمع آوری اعتبار VPN است.

این افزونه از آسیب‌پذیری روز صفر وصله‌نشده در کلاینت VPN Fortinet برای ویندوز بهره می‌برد. با بهره برداری از این نقص، اعتبار کاربری را مستقیماً از حافظه فرآیند مشتری بازیابی می کند.

سایر تهدیدات مضر بخشی از آرسنال BrazenBamboo

از زمان ایجاد ایمپلنت نرم افزار جاسوسی LightSpy در سال 2022، مهاجم به طور مداوم بر روی هدف قرار دادن پلتفرم های ارتباطی استراتژیک متمرکز شده است، و مخفی کاری و دسترسی پایدار را در اولویت قرار داده است. نسخه ویندوز LightSpy از نظر معماری با سایر انواع سیستم عامل متفاوت است. از طریق نصب کننده ای که کتابخانه ای را برای اجرای shellcode در حافظه بارگذاری می کند، مستقر می شود. سپس این پوسته مولفه ارکستراتور را از سرور فرمان و کنترل دانلود و رمزگشایی می کند. ارکستراتور توسط لودری به نام BH_A006 فعال می‌شود که قبلاً با گروه تهدیدکننده مشکوک چینی "دزدان دریایی فضایی" که به دلیل هدف قرار دادن سازمان‌های روسی شناخته می‌شود، مرتبط بوده است.

یکی دیگر از ابزارهای موجود در زرادخانه بدافزار BrazenBamboo، DEEPPOST است، ابزاری برای استخراج داده های پس از بهره برداری که قادر به ارسال فایل ها به نقطه پایانی راه دور است. DEEPDATA و DEEPPOST با هم به طور قابل توجهی قابلیت‌های جاسوسی سایبری عامل تهدید را افزایش می‌دهند و بر اساس کار قبلی با LightSpy، که اکنون macOS، iOS و Windows را هدف قرار می‌دهد، تقویت می‌کنند.

شباهت‌های کد و زیرساخت قابل‌توجهی بین LightSpy و DEEPDATA وجود دارد، که نشان می‌دهد هر دو خانواده بدافزار احتمالاً توسط یک شرکت خصوصی ایجاد شده‌اند که احتمالاً برای ایجاد ابزارهای هک برای استفاده دولتی قرارداد دارد.