DEEPDATA Malware

Prijetnja koja djeluje pod pseudonimom BrazenBamboo iskoristila je nezakrpanu ranjivost u Fortinet-ovom FortiClientu za Windows kako bi prikupila vjerodajnice za VPN. Ova je aktivnost dio sofisticiranog modularnog okvira koji se naziva DEEPDATA.

Istraživači koji su analizirali ovu kampanju otkrili su iskorištavanje ranjivosti otkrivanja vjerodajnica nultog dana u srpnju 2024. Pripisali su razvoj DEEPDATA, DEEPPOST-a i LightSpy-a BrazenBamboo-u.

Što je DEEPDATA zlonamjerni softver

DEEPDATA je modularni post-eksploatacijski alat dizajniran za operativni sustav Windows, sposoban za prikupljanje opsežnih informacija s kompromitiranih uređaja. Prvotno je skrenuta pažnja kada su stručnjaci za kibernetičku sigurnost analizirali nadzorni okvir temeljen na sustavu Windows, povezujući ga s akterom prijetnje APT41 povezanim s Kinom. DEEPDATA se koristi za izdvajanje podataka s komunikacijskih platformi kao što su WhatsApp, Telegram, Signal, WeChat, LINE, QQ i Skype, kao i Microsoft Outlook, DingDing, Feishu, KeePass, vjerodajnice aplikacija, podaci preglednika, Wi-Fi mreže i instalirani softver.

Srce DEEPDATA je učitavač biblioteke dinamičke veze (DLL) poznat kao data.dll, koji je dizajniran za dešifriranje i implementaciju 12 različitih dodataka putem orkestralnog modula pod nazivom frame.dll. Među tim dodacima je nedavno identificirani FortiClient DLL, sposoban prikupljati VPN vjerodajnice.

Ovaj dodatak iskorištava nezakrpanu zero-day ranjivost u Fortinet VPN klijentu za Windows. Iskorištavanjem ovog propusta dohvaća korisničke vjerodajnice izravno iz memorije klijentova procesa.

Druge štetne prijetnje dio Arsenala BrazenBamboo

Od stvaranja LightSpy špijunskog implantata 2022., napadač se dosljedno usredotočio na strateško ciljanje komunikacijskih platformi, dajući prioritet prikrivenom i trajnom pristupu. Windows verzija LightSpy-a razlikuje se od ostalih varijanti OS-a po svojoj arhitekturi. Postavlja se putem programa za instalaciju koji učitava biblioteku za izvršavanje shellcodea u memoriji. Ovaj shellcode zatim preuzima i dekodira komponentu orkestratora s poslužitelja za naredbe i kontrolu. Orkestrator je aktiviran učitavačem nazvanim BH_A006, koji je prethodno bio povezan s osumnjičenom kineskom prijetnjom skupinom 'Svemirski pirati', poznatom po napadanju ruskih organizacija.

Još jedan alat u arsenalu zlonamjernog softvera BrazenBamboo je DEEPPOST, alat za eksfiltraciju podataka nakon eksploatacije koji može slati datoteke na udaljenu krajnju točku. Zajedno, DEEPDATA i DEEPPOST značajno poboljšavaju sposobnosti cyber špijunaže aktera prijetnje, nadovezujući se na raniji rad s LightSpyjem, koji sada cilja na macOS, iOS i Windows.

Postoje značajne sličnosti u kodu i infrastrukturi između LightSpy-a i DEEPDATA-e, što ukazuje na to da je obje obitelji zlonamjernog softvera vjerojatno razvilo isto privatno poduzeće, potencijalno angažirano za izradu alata za hakiranje za potrebe vlade.