DEEPDATA 맬웨어

BrazenBamboo라는 별칭으로 활동하는 위협 행위자가 Fortinet의 FortiClient for Windows에서 패치되지 않은 취약성을 활용하여 VPN 자격 증명을 수집했습니다. 이 활동은 DEEPDATA라고 하는 정교한 모듈식 프레임워크의 일부입니다.

이 캠페인을 분석한 연구원들은 2024년 7월에 제로데이 자격 증명 공개 취약성의 악용을 발견했습니다. 그들은 DEEPDATA, DEEPPOST, LightSpy의 개발을 BrazenBamboo에 기인했습니다.

DEEPDATA 맬웨어란 무엇입니까?

DEEPDATA는 Windows 운영 체제를 위해 설계된 모듈식 사후 익스플로잇 도구로, 침해된 기기에서 광범위한 정보를 수집할 수 있습니다. 사이버 보안 전문가가 Windows 기반 감시 프레임워크를 분석하여 중국과 관련된 APT41 위협 행위자와 연결했을 때 처음 주목을 받았습니다. DEEPDATA는 WhatsApp, Telegram, Signal, WeChat, LINE, QQ, Skype와 같은 통신 플랫폼과 Microsoft Outlook, DingDing, Feishu, KeePass, 애플리케이션 자격 증명, 브라우저 데이터, Wi-Fi 네트워크 및 설치된 소프트웨어에서 데이터를 추출하는 데 사용되었습니다.

DEEPDATA의 핵심은 data.dll이라는 동적 링크 라이브러리(DLL) 로더로, frame.dll이라는 오케스트레이터 모듈을 통해 12개의 개별 플러그인을 해독하고 배포하도록 설계되었습니다. 이러한 플러그인 중에는 VPN 자격 증명을 수집할 수 있는 새로 식별된 FortiClient DLL이 있습니다.

이 플러그인은 Windows용 Fortinet VPN 클라이언트의 패치되지 않은 제로데이 취약성을 이용합니다. 이 결함을 악용하여 클라이언트 프로세스의 메모리에서 직접 사용자 자격 증명을 검색합니다.

기타 유해 위협 BrazenBamboo 무기고의 일부

공격자는 2022년에 LightSpy 스파이웨어 임플란트를 만든 이래로 지속적으로 통신 플랫폼을 전략적으로 타겟팅하고 스텔스와 지속적인 액세스를 우선시하는 데 집중해 왔습니다. LightSpy의 Windows 버전은 아키텍처에서 다른 OS 변형과 다릅니다. 메모리에서 셸코드를 실행하기 위해 라이브러리를 로드하는 설치 프로그램을 통해 배포됩니다. 그런 다음 이 셸코드는 명령 및 제어 서버에서 오케스트레이터 구성 요소를 다운로드하여 디코딩합니다. 오케스트레이터는 이전에 러시아 조직을 타겟팅한 것으로 알려진 의심되는 중국 위협 그룹 'Space Pirates'와 관련이 있었던 BH_A006이라는 로더에 의해 활성화됩니다.

BrazenBamboo의 맬웨어 무기고에 있는 또 다른 도구는 DEEPPOST로, 원격 엔드포인트로 파일을 보낼 수 있는 익스플로잇 후 데이터 유출 도구입니다. DEEPDATA와 DEEPPOST는 함께 위협 행위자의 사이버 스파이 역량을 크게 강화하여, 이제 macOS, iOS, Windows를 대상으로 하는 LightSpy와의 이전 작업을 기반으로 구축합니다.

LightSpy와 DEEPDATA 사이에는 눈에 띄는 코드와 인프라 유사점이 있는데, 이는 두 맬웨어 계열 모두 동일한 민간 기업에서 개발한 것으로 보이며, 잠재적으로 정부에서 사용하는 해킹 도구를 만들기로 계약을 맺었을 가능성이 있음을 시사합니다.