Malware DEEPDATA

Un threat actor che opera sotto l'alias BrazenBamboo ha sfruttato una vulnerabilità non patchata in FortiClient per Windows di Fortinet per raccogliere credenziali VPN. Questa attività fa parte di un sofisticato framework modulare denominato DEEPDATA.

I ricercatori che hanno analizzato questa campagna hanno scoperto lo sfruttamento della vulnerabilità di divulgazione delle credenziali zero-day nel luglio 2024. Hanno attribuito lo sviluppo di DEEPDATA, DEEPPOST e LightSpy a BrazenBamboo.

Che cosa è il malware DEEPDATA

DEEPDATA è uno strumento modulare di post-sfruttamento progettato per il sistema operativo Windows, in grado di raccogliere informazioni estese da dispositivi compromessi. Inizialmente è stato portato all'attenzione quando gli specialisti della sicurezza informatica hanno analizzato il framework di sorveglianza basato su Windows, collegandolo all'attore della minaccia APT41 associato alla Cina. DEEPDATA è stato utilizzato per estrarre dati da piattaforme di comunicazione come WhatsApp, Telegram, Signal, WeChat, LINE, QQ e Skype, nonché Microsoft Outlook, DingDing, Feishu, KeePass, credenziali delle applicazioni, dati del browser, reti Wi-Fi e software installato.

Al centro di DEEPDATA c'è un caricatore di librerie a collegamento dinamico (DLL) noto come data.dll, progettato per decifrare e distribuire 12 plugin distinti tramite un modulo orchestratore denominato frame.dll. Tra questi plugin c'è una DLL FortiClient di recente identificazione, in grado di raccogliere credenziali VPN.

Questo plugin sfrutta una vulnerabilità zero-day non patchata nel client VPN Fortinet per Windows. Sfruttando questa falla, recupera le credenziali utente direttamente dalla memoria del processo del client.

Altre minacce dannose fanno parte dell'arsenale di BrazenBamboo

Da quando ha creato l'impianto spyware LightSpy nel 2022, l'attaccante si è costantemente concentrato sul targeting strategico delle piattaforme di comunicazione, dando priorità alla furtività e all'accesso prolungato. La versione Windows di LightSpy differisce dalle altre varianti del sistema operativo nella sua architettura. Viene distribuito tramite un programma di installazione che carica una libreria per eseguire lo shellcode in memoria. Questo shellcode scarica e decodifica il componente orchestratore dal server di comando e controllo. L'orchestratore viene attivato da un caricatore chiamato BH_A006, che è stato precedentemente associato al presunto gruppo di minacce cinese "Space Pirates", noto per aver preso di mira le organizzazioni russe.

Un altro strumento nell'arsenale malware di BrazenBamboo è DEEPPOST, uno strumento di esfiltrazione dei dati post-sfruttamento in grado di inviare file a un endpoint remoto. Insieme, DEEPDATA e DEEPPOST migliorano significativamente le capacità di spionaggio informatico dell'attore della minaccia, basandosi sul lavoro precedente con LightSpy, che ora prende di mira macOS, iOS e Windows.

Esistono notevoli somiglianze nel codice e nell'infrastruttura tra LightSpy e DEEPDATA, il che indica che entrambe le famiglie di malware sono state probabilmente sviluppate dalla stessa azienda privata, potenzialmente incaricata di creare strumenti di hacking per uso governativo.