DEEPDATA kenkėjiška programa

Grėsmių veikėjas, veikiantis slapyvardžiu BrazenBamboo, pasinaudojo nepataisyta Fortinet FortiClient for Windows pažeidžiamumu, kad gautų VPN kredencialus. Ši veikla yra sudėtingos modulinės sistemos, vadinamos DEEPDATA, dalis.

Šią kampaniją analizuojantys mokslininkai 2024 m. liepos mėn. atskleidė nulinės dienos kredencialų atskleidimo pažeidžiamumo išnaudojimą. DEEPDATA, DEEPPOST ir LightSpy kūrimą jie priskyrė BrazenBamboo.

Kas yra DEEPDATA kenkėjiška programa

DEEPDATA yra modulinis po-eksploatavimo įrankis, sukurtas Windows operacinei sistemai, galintis rinkti didelę informaciją iš pažeistų įrenginių. Iš pradžių į tai buvo atkreiptas dėmesys, kai kibernetinio saugumo specialistai išanalizavo „Windows“ pagrindu veikiančią stebėjimo sistemą, susiedami ją su su Kinija susijusiu APT41 grėsmės veikėju. DEEPDATA buvo naudojama duomenims išgauti iš komunikacijos platformų, tokių kaip WhatsApp, Telegram, Signal, WeChat, LINE, QQ ir Skype, taip pat Microsoft Outlook, DingDing, Feishu, KeePass, programų kredencialus, naršyklės duomenis, Wi-Fi tinklus ir įdiegta programinė įranga.

DEEPDATA esmė yra dinaminės nuorodos bibliotekos (DLL) įkroviklis, žinomas kaip data.dll, skirtas iššifruoti ir įdiegti 12 skirtingų įskiepių per orkestro modulį, pavadintą frame.dll. Tarp šių papildinių yra naujai nustatytas FortiClient DLL, galintis surinkti VPN kredencialus.

Šis papildinys pasinaudoja nepataisytu nulinės dienos pažeidžiamumu Fortinet VPN kliente, skirtame Windows. Išnaudodama šį trūkumą, ji nuskaito vartotojo kredencialus tiesiai iš kliento proceso atminties.

Kitos žalingos grėsmės „BrazenBamboo“ arsenalo dalis

Nuo tada, kai 2022 m. sukūrė „LightSpy“ šnipinėjimo programų implantą, užpuolikas nuolat sutelkė dėmesį į strategiškai nukreiptą komunikacijos platformas, pirmenybę teikdamas slaptam ir ilgalaikei prieigai. Windows versija LightSpy skiriasi nuo kitų OS variantų savo architektūra. Jis įdiegiamas per diegimo programą, kuri įkelia biblioteką, kad atmintyje vykdytų apvalkalo kodą. Tada šis apvalkalo kodas atsisiunčia ir iškoduoja orkestro komponentą iš komandų ir valdymo serverio. Orkestratorių suaktyvina krautuvas BH_A006, kuris anksčiau buvo siejamas su įtariama Kinijos grėsmių grupe „Kosmoso piratai“, žinoma, kad taikėsi į Rusijos organizacijas.

Kitas „BrazenBamboo“ kenkėjiškų programų arsenale esantis įrankis yra DEEPPOST – duomenų išnaudojimo po išnaudojimo įrankis, galintis siųsti failus į nutolusį galutinį tašką. Kartu DEEPDATA ir DEEPPOST žymiai padidina grėsmės veikėjo kibernetinio šnipinėjimo galimybes, remdamiesi ankstesniu darbu su LightSpy, kuris dabar skirtas macOS, iOS ir Windows.

„LightSpy“ ir „DEEPDATA“ turi žymių kodų ir infrastruktūros panašumų, o tai rodo, kad abi kenkėjiškų programų šeimas greičiausiai sukūrė ta pati privati įmonė, kuri gali sudaryti sutartį dėl įsilaužimo įrankių vyriausybei.