DEEPDATA rosszindulatú program

A BrazenBamboo álnéven működő fenyegetett szereplő a Fortinet FortiClient for Windows programjának kijavítatlan biztonsági rését használta fel a VPN hitelesítő adatainak begyűjtésére. Ez a tevékenység a DEEPDATA-ként emlegetett kifinomult moduláris keretrendszer része.

A kampányt elemző kutatók 2024 júliusában tárták fel a nulladik napos hitelesítő adatok közzétételi résének kihasználását. A DEEPDATA, a DEEPPOST és a LightSpy fejlesztését a BrazenBamboo-nak tulajdonították.

Mi az a DEEPDATA rosszindulatú program

A DEEPDATA egy moduláris utókiaknázási eszköz, amelyet a Windows operációs rendszerhez fejlesztettek ki, és amely képes átfogó információkat gyűjteni a feltört eszközökről. Eredetileg akkor hívták fel rá a figyelmet, amikor a kiberbiztonsági szakértők elemezték a Windows-alapú felügyeleti keretrendszert, összekapcsolva azt a Kínával kapcsolatos APT41 fenyegetés szereplőjével. A DEEPDATA-t használták adatok kinyerésére olyan kommunikációs platformokról, mint a WhatsApp, a Telegram, a Signal, a WeChat, a LINE, a QQ és a Skype, valamint a Microsoft Outlook, a DingDing, a Feishu, a KeePass, az alkalmazás hitelesítő adatai, a böngészőadatok, a Wi-Fi hálózatok és telepített szoftver.

A DEEPDATA középpontjában a data.dll néven ismert dinamikus kapcsolati könyvtár (DLL) betöltő áll, amely 12 különálló beépülő modul visszafejtésére és telepítésére szolgál a frame.dll nevű orchestrator modulon keresztül. E beépülő modulok között található egy újonnan azonosított FortiClient DLL, amely képes VPN hitelesítő adatok begyűjtésére.

Ez a beépülő modul kihasználja a Fortinet VPN kliens for Windows rendszerben található nulladik napos biztonsági rését. Ezt a hibát kihasználva közvetlenül az ügyfél folyamatának memóriájából kéri le a felhasználói hitelesítő adatokat.

Egyéb káros fenyegetések a BrazenBamboo Arzenál része

A LightSpy spyware implantátum 2022-es létrehozása óta a támadó következetesen a kommunikációs platformok stratégiai célzására összpontosít, előtérbe helyezve a lopakodást és a tartós hozzáférést. A LightSpy Windows-verziója architektúrájában különbözik a többi operációs rendszer-változattól. Telepítőn keresztül kerül telepítésre, amely betölt egy könyvtárat, hogy shellkódot hajtson végre a memóriában. Ez a shellkód ezután letölti és dekódolja az orchestrator összetevőt a parancs- és vezérlőkiszolgálóról. A hangszerelőt a BH_A006 nevű betöltő aktiválja, amelyet korábban a „Space Pirates” gyanús kínai fenyegetőcsoporttal hoztak kapcsolatba, amely arról ismert, hogy orosz szervezeteket céloz meg.

Egy másik eszköz a BrazenBamboo kártevő-arzenáljában a DEEPPOST, egy kizsákmányolás utáni adatleszűrési eszköz, amely képes fájlokat küldeni egy távoli végpontra. A DEEPDATA és a DEEPPOST együttesen jelentősen javítják a fenyegetőző kiberkémkedési képességeit, a LightSpy korábbi munkájára építve, amely immár a macOS-t, iOS-t és Windows-t célozza meg.

Figyelemre méltó kód- és infrastrukturális hasonlóságok vannak a LightSpy és a DEEPDATA között, ami azt jelzi, hogy mindkét rosszindulatú programcsaládot valószínűleg ugyanaz a magánvállalkozás fejlesztette ki, amely szerződést kötött arra, hogy állami használatra szánt hackereszközöket hozzon létre.