תוכנה זדונית DEEPDATA
שחקן איומים הפועל תחת הכינוי BrazenBamboo מינף פגיעות לא מעודכנת ב-FortiClient של Fortinet עבור Windows כדי לאסוף אישורי VPN. פעילות זו היא חלק ממסגרת מודולרית מתוחכמת המכונה DEEPDATA.
חוקרים שניתחו את הקמפיין הזה חשפו את ניצול הפגיעות של חשיפת אישורי אפס ביולי 2024. הם ייחסו את הפיתוח של DEEPDATA, DEEPPOST ו-LightSpy ל-BrazenBamboo.
מהי תוכנת זדונית DEEPDATA
DEEPDATA הוא כלי מודולרי לאחר ניצול המיועד למערכת ההפעלה Windows, המסוגל לאסוף מידע נרחב ממכשירים שנפגעו. זה הובא לתשומת לב בתחילה כאשר מומחי אבטחת סייבר ניתחו את מסגרת המעקב מבוססת Windows, וקישרו אותה לשחקן האיום APT41 הקשור לסין. נעשה שימוש ב-DEEPDATA כדי לחלץ נתונים מפלטפורמות תקשורת כמו WhatsApp, Telegram, Signal, WeChat, LINE, QQ ו-Skype, כמו גם Microsoft Outlook, DingDing, Feishu, KeePass, אישורי יישומים, נתוני דפדפן, רשתות Wi-Fi ו תוכנה מותקנת.
בליבה של DEEPDATA הוא טוען ספריית קישורים דינמיים (DLL) הידוע בשם data.dll, אשר נועד לפענח ולפרוס 12 תוספים נפרדים באמצעות מודול מתזמר בשם frame.dll. בין התוספים הללו נמצא DLL של FortiClient שזוהה לאחרונה, המסוגל לאסוף אישורי VPN.
תוסף זה מנצל פגיעות ללא תיקון של יום אפס בלקוח Fortinet VPN עבור Windows. על ידי ניצול פגם זה, הוא משחזר את אישורי המשתמש ישירות מזיכרון התהליך של הלקוח.
איומים מזיקים אחרים חלק מארסנל BrazenBamboo
מאז יצירת שתל תוכנת הריגול LightSpy בשנת 2022, התוקף התמקד בעקביות במיקוד אסטרטגי של פלטפורמות תקשורת, תוך עדיפות להתגנבות וגישה מתמשכת. גרסת Windows של LightSpy שונה מגרסאות אחרות של מערכת ההפעלה בארכיטקטורה שלה. הוא נפרס באמצעות מתקין שטוען ספרייה כדי להפעיל קוד מעטפת בזיכרון. קוד מעטפת זה מוריד ומפענח את רכיב התזמר משרת הפקודה והבקרה. המתזמר מופעל על ידי מטעין בשם BH_A006, אשר היה קשור בעבר לקבוצת האיומים הסינית החשודה 'שודדי החלל', הידועה כמי שמכוונת לארגונים רוסיים.
כלי נוסף בארסנל התוכנות הזדוניות של BrazenBamboo הוא DEEPPOST, כלי חילוץ נתונים לאחר ניצול המסוגל לשלוח קבצים לנקודת קצה מרוחקת. יחד, DEEPDATA ו-DEEPPOST משפרות משמעותית את יכולות ריגול הסייבר של שחקן האיומים, תוך התבססות על העבודה הקודמת עם LightSpy, שמכוונת כעת ל-macOS, iOS ו-Windows.
יש קווי דמיון בולטים של קוד ותשתית בין LightSpy ל-DEEPDATA, מה שמצביע על כך ששתי משפחות התוכנות הזדוניות מפותחות ככל הנראה על ידי אותו מיזם פרטי, שעלול להתקשר ליצירת כלי פריצה לשימוש ממשלתי.
