DEEPDATA Haittaohjelma

BrazenBamboo-aliaksella toimiva uhkatekijä on hyödyntänyt Fortinetin FortiClient for Windows -ohjelmiston korjaamatonta haavoittuvuutta kerätäkseen VPN-tunnistetietoja. Tämä toiminta on osa kehittynyttä modulaarista kehystä, jota kutsutaan nimellä DEEPDATA.

Tätä kampanjaa analysoivat tutkijat paljastivat nollapäivän valtuustietojen paljastamisen haavoittuvuuden hyväksikäytön heinäkuussa 2024. He ovat katsoneet DEEPDATAn, DEEPPOSTin ja LightSpyn kehityksen BrazenBamboon ansioksi.

Mikä on DEEPDATA-haittaohjelma

DEEPDATA on Windows-käyttöjärjestelmälle suunniteltu modulaarinen jälkikäyttötyökalu, joka pystyy keräämään laajaa tietoa vaarantuneista laitteista. Se kiinnitettiin alun perin tietoisuuteen, kun kyberturvallisuusasiantuntijat analysoivat Windows-pohjaista valvontakehystä ja liittivät sen Kiinaan liittyvään APT41-uhkatoimijaan. DEEPDATAa on käytetty tietojen poimimiseen viestintäalustoista, kuten WhatsApp, Telegram, Signal, WeChat, LINE, QQ ja Skype, sekä Microsoft Outlook, DingDing, Feishu, KeePass, sovellusten tunnistetiedot, selaintiedot, Wi-Fi-verkot ja asennettu ohjelmisto.

DEEPDATA:n ytimessä on dynaamisten linkkien kirjaston (DLL) latausohjelma, joka tunnetaan nimellä data.dll, joka on suunniteltu purkamaan ja ottamaan käyttöön 12 erillistä laajennusta frame.dll-nimisen orchestrator-moduulin kautta. Näiden laajennusten joukossa on äskettäin tunnistettu FortiClient DLL, joka pystyy keräämään VPN-tunnistetiedot.

Tämä laajennus hyödyntää Windowsin Fortinet VPN -asiakkaan korjaamatonta nollapäivän haavoittuvuutta. Tätä puutetta hyödyntämällä se hakee käyttäjätiedot suoraan asiakkaan prosessin muistista.

Muut haitalliset uhat osa BrazenBamboo Arsenalia

LightSpy-spyware-istutteen luomisesta vuonna 2022 lähtien hyökkääjä on jatkuvasti keskittynyt strategiseen kohdistamiseen viestintäalustoille, priorisoimalla salailua ja jatkuvaa pääsyä. LightSpyn Windows-versio eroaa muista käyttöjärjestelmäversioista arkkitehtuuriltaan. Se otetaan käyttöön asennusohjelman kautta, joka lataa kirjaston suorittaakseen shell-koodin muistissa. Tämä kuorikoodi lataa ja purkaa sitten orchestrator-komponentin komento- ja ohjauspalvelimelta. Orkesterin aktivoi BH_A006-niminen latauslaite, joka on aiemmin ollut yhteydessä epäiltyyn kiinalaiseen uhkaryhmään "Space Pirates", joka tunnetaan kohdistamisestaan venäläisiä organisaatioita vastaan.

Toinen työkalu BrazenBamboon haittaohjelmaarsenaalissa on DEEPPOST, hyväksikäytön jälkeinen tietojen suodatustyökalu, joka pystyy lähettämään tiedostoja etäpäätepisteeseen. Yhdessä DEEPDATA ja DEEPPOST parantavat merkittävästi uhkatoimijan kybervakoiluvalmiuksia, jotka perustuvat aiempaan LightSpy-työhön, joka nyt kohdistuu macOS-, iOS- ja Windows-käyttöjärjestelmiin.

LightSpyn ja DEEPDATA:n välillä on huomattavia koodin ja infrastruktuurin yhtäläisyyksiä, mikä osoittaa, että molemmat haittaohjelmaperheet ovat todennäköisesti saman yksityisen yrityksen kehittämiä, ja ne ovat mahdollisesti tehneet sopimuksen hakkerointityökalujen luomisesta valtion käyttöön.