डीपडाटा मैलवेयर

BrazenBamboo नाम से काम करने वाले एक ख़तरनाक अभिनेता ने VPN क्रेडेंशियल्स को हासिल करने के लिए Fortinet के FortiClient for Windows में एक अप्रकाशित भेद्यता का लाभ उठाया है। यह गतिविधि DEEPDATA नामक एक परिष्कृत मॉड्यूलर फ्रेमवर्क का हिस्सा है।

इस अभियान का विश्लेषण करने वाले शोधकर्ताओं ने जुलाई 2024 में शून्य-दिन क्रेडेंशियल प्रकटीकरण भेद्यता के शोषण का खुलासा किया। उन्होंने DEEPDATA, DEEPPOST और LightSpy के विकास का श्रेय BrazenBamboo को दिया है।

DEEPDATA मैलवेयर क्या है?

DEEPDATA विंडोज ऑपरेटिंग सिस्टम के लिए डिज़ाइन किया गया एक मॉड्यूलर पोस्ट-एक्सप्लॉइटेशन टूल है, जो समझौता किए गए उपकरणों से व्यापक जानकारी एकत्र करने में सक्षम है। इसे शुरू में तब ध्यान में लाया गया जब साइबर सुरक्षा विशेषज्ञों ने विंडोज-आधारित निगरानी ढांचे का विश्लेषण किया, इसे चीन से जुड़े APT41 खतरे वाले अभिनेता से जोड़ा। DEEPDATA का उपयोग व्हाट्सएप, टेलीग्राम, सिग्नल, वीचैट, लाइन, क्यूक्यू और स्काइप जैसे संचार प्लेटफार्मों के साथ-साथ माइक्रोसॉफ्ट आउटलुक, डिंगडिंग, फेइशू, कीपास, एप्लिकेशन क्रेडेंशियल्स, ब्राउज़र डेटा, वाई-फाई नेटवर्क और इंस्टॉल किए गए सॉफ़्टवेयर से डेटा निकालने के लिए किया गया है।

DEEPDATA के केंद्र में एक डायनेमिक-लिंक लाइब्रेरी (DLL) लोडर है जिसे data.dll के नाम से जाना जाता है, जिसे frame.dll नामक ऑर्केस्ट्रेटर मॉड्यूल के माध्यम से 12 अलग-अलग प्लगइन्स को डिक्रिप्ट और तैनात करने के लिए डिज़ाइन किया गया है। इन प्लगइन्स में एक नया पहचाना गया FortiClient DLL है, जो VPN क्रेडेंशियल्स को हार्वेस्ट करने में सक्षम है।

यह प्लगइन विंडोज के लिए फोर्टिनेट वीपीएन क्लाइंट में एक अनपैच्ड जीरो-डे भेद्यता का लाभ उठाता है। इस दोष का फायदा उठाकर, यह क्लाइंट की प्रक्रिया की मेमोरी से सीधे उपयोगकर्ता क्रेडेंशियल प्राप्त करता है।

अन्य हानिकारक खतरे ब्रेज़ेनबाम्बू शस्त्रागार का हिस्सा हैं

2022 में लाइटस्पाई स्पाइवेयर इम्प्लांट बनाने के बाद से, हमलावर ने लगातार संचार प्लेटफ़ॉर्म को रणनीतिक रूप से लक्षित करने, चुपके और निरंतर पहुँच को प्राथमिकता देने पर ध्यान केंद्रित किया है। लाइटस्पाई का विंडोज संस्करण अपनी वास्तुकला में अन्य ओएस वेरिएंट से अलग है। इसे एक इंस्टॉलर के माध्यम से तैनात किया जाता है जो मेमोरी में शेलकोड निष्पादित करने के लिए एक लाइब्रेरी लोड करता है। यह शेलकोड तब कमांड-एंड-कंट्रोल सर्वर से ऑर्केस्ट्रेटर घटक को डाउनलोड और डिकोड करता है। ऑर्केस्ट्रेटर को BH_A006 नामक लोडर द्वारा सक्रिय किया जाता है, जो पहले संदिग्ध चीनी खतरा समूह 'स्पेस पाइरेट्स' से जुड़ा हुआ था, जिसे रूसी संगठनों को लक्षित करने के लिए जाना जाता है।

BrazenBamboo के मैलवेयर शस्त्रागार में एक और उपकरण DEEPPOST है, जो एक पोस्ट-एक्सप्लॉइटेशन डेटा एक्सफ़िल्टरेशन टूल है जो फ़ाइलों को रिमोट एंडपॉइंट पर भेजने में सक्षम है। साथ में, DEEPDATA और DEEPPOST खतरे वाले अभिनेता की साइबर जासूसी क्षमताओं को महत्वपूर्ण रूप से बढ़ाते हैं, जो लाइटस्पाई के साथ पहले के काम पर आधारित है, जो अब macOS, iOS और Windows को लक्षित करता है।

लाइटस्पाई और डीपडाटा के बीच उल्लेखनीय कोड और बुनियादी ढांचे में समानताएं हैं, जो यह दर्शाती हैं कि दोनों मैलवेयर परिवार संभवतः एक ही निजी उद्यम द्वारा विकसित किए गए हैं, जिन्हें संभवतः सरकारी उपयोग के लिए हैकिंग टूल बनाने के लिए अनुबंधित किया गया है।