DEEPDATA ļaunprātīga programmatūra

Apdraudējuma izpildītājs, kas darbojas ar aizstājvārdu BrazenBamboo, ir izmantojis Fortinet FortiClient for Windows neaizlabotu ievainojamību, lai iegūtu VPN akreditācijas datus. Šī darbība ir daļa no sarežģītas moduļu sistēmas, ko dēvē par DEEPDATA.

Pētnieki, analizējot šo kampaņu, atklāja nulles dienas akreditācijas datu atklāšanas ievainojamības izmantošanu 2024. gada jūlijā. Viņi DEEPDATA, DEEPPOST un LightSpy izstrādi attiecināja uz BrazenBamboo.

Kas ir DEEPDATA ļaunprātīga programmatūra

DEEPDATA ir modulārs pēcekspluatācijas rīks, kas paredzēts operētājsistēmai Windows un spēj apkopot plašu informāciju no apdraudētām ierīcēm. Sākotnēji tam tika pievērsta uzmanība, kad kiberdrošības speciālisti analizēja uz Windows balstīto uzraudzības sistēmu, saistot to ar Ķīnu saistīto APT41 draudu dalībnieku. DEEPDATA ir izmantota, lai iegūtu datus no tādām saziņas platformām kā WhatsApp, Telegram, Signal, WeChat, LINE, QQ un Skype, kā arī Microsoft Outlook, DingDing, Feishu, KeePass, lietojumprogrammu akreditācijas datus, pārlūkprogrammas datus, Wi-Fi tīklus un instalēta programmatūra.

DEEPDATA pamatā ir dinamiskās saites bibliotēkas (DLL) ielādētājs, kas pazīstams kā data.dll, kas ir paredzēts 12 atšķirīgu spraudņu atšifrēšanai un izvietošanai, izmantojot orķestratora moduli ar nosaukumu frame.dll. Starp šiem spraudņiem ir nesen identificēts FortiClient DLL, kas spēj iegūt VPN akreditācijas datus.

Šis spraudnis izmanto neatkārtotas nulles dienas ievainojamības priekšrocības Fortinet VPN klienta operētājsistēmai Windows. Izmantojot šo trūkumu, tas izgūst lietotāja akreditācijas datus tieši no klienta procesa atmiņas.

Citi kaitīgi draudi, kas ir daļa no BrazenBamboo arsenāla

Kopš LightSpy spiegprogrammatūras implanta izveides 2022. gadā uzbrucējs ir konsekventi koncentrējies uz stratēģisku mērķēšanu uz komunikācijas platformām, par prioritāti izvirzot slepenību un ilgstošu piekļuvi. LightSpy Windows versija atšķiras no citiem OS variantiem ar savu arhitektūru. Tas tiek izvietots, izmantojot instalētāju, kas ielādē bibliotēku, lai izpildītu čaulas kodu atmiņā. Šis čaulas kods pēc tam lejupielādē un atkodē orķestratora komponentu no komandu un vadības servera. Orķestratoru aktivizē iekrāvējs BH_A006, kas iepriekš bijis saistīts ar aizdomās turēto Ķīnas draudu grupu “Kosmosa pirāti”, kas pazīstama ar mērķi vērsties pret Krievijas organizācijām.

Vēl viens rīks BrazenBamboo ļaunprātīgas programmatūras arsenālā ir DEEPPOST — pēcekspluatācijas datu eksfiltrācijas rīks, kas spēj nosūtīt failus uz attālu galapunktu. Kopā DEEPDATA un DEEPPOST ievērojami uzlabo apdraudētāja kiberspiegošanas iespējas, balstoties uz agrāko darbu ar LightSpy, kas tagad ir paredzēts macOS, iOS un Windows.

Starp LightSpy un DEEPDATA ir ievērojamas koda un infrastruktūras līdzības, kas norāda, ka abas ļaunprātīgas programmatūras saimes, visticamāk, ir izstrādājis viens un tas pats privātais uzņēmums, ar kuru, iespējams, ir noslēgts līgums par uzlaušanas rīku izveidi valsts vajadzībām.