DEEPDATA Perisian Hasad

Seorang pelakon ancaman yang beroperasi di bawah alias BrazenBamboo telah memanfaatkan kelemahan yang belum ditambal dalam FortiClient for Windows Fortinet untuk menuai kelayakan VPN. Aktiviti ini adalah sebahagian daripada rangka kerja modular yang canggih yang dirujuk sebagai DEEPDATA.

Penyelidik yang menganalisis kempen ini mendedahkan eksploitasi kerentanan pendedahan kelayakan sifar hari pada Julai 2024. Mereka telah mengaitkan pembangunan DEEPDATA, DEEPPOST dan LightSpy kepada BrazenBamboo.

Apakah itu DEEPDATA Malware

DEEPDATA ialah alat pasca eksploitasi modular yang direka untuk sistem pengendalian Windows, yang mampu mengumpul maklumat yang luas daripada peranti yang terjejas. Ia pada mulanya dibawa kepada perhatian apabila pakar keselamatan siber menganalisis rangka kerja pengawasan berasaskan Windows, menghubungkannya dengan pelakon ancaman APT41 yang berkaitan dengan China. DEEPDATA telah digunakan untuk mengekstrak data daripada platform komunikasi seperti WhatsApp, Telegram, Signal, WeChat, LINE, QQ, dan Skype, serta Microsoft Outlook, DingDing, Feishu, KeePass, bukti kelayakan aplikasi, data penyemak imbas, rangkaian Wi-Fi, dan perisian yang dipasang.

Di tengah-tengah DEEPDATA ialah pemuat perpustakaan pautan dinamik (DLL) yang dikenali sebagai data.dll, yang direka untuk menyahsulit dan menggunakan 12 pemalam yang berbeza melalui modul orkestra bernama frame.dll. Antara pemalam ini ialah DLL FortiClient yang baru dikenal pasti, mampu menuai kelayakan VPN.

Pemalam ini mengambil kesempatan daripada kerentanan sifar hari yang tidak ditambal dalam klien VPN Fortinet untuk Windows. Dengan mengeksploitasi kecacatan ini, ia mendapatkan semula kelayakan pengguna secara langsung daripada ingatan proses pelanggan.

Ancaman Berbahaya Lain Sebahagian daripada BrazenBamboo Arsenal

Sejak mencipta implan perisian pengintip LightSpy pada tahun 2022, penyerang secara konsisten memfokuskan pada platform komunikasi yang menyasarkan secara strategik, mengutamakan akses tersembunyi dan berterusan. Versi Windows LightSpy berbeza daripada varian OS lain dalam seni binanya. Ia digunakan melalui pemasang yang memuatkan perpustakaan untuk melaksanakan kod shell dalam ingatan. Shellcode ini kemudiannya memuat turun dan menyahkod komponen orkestra daripada pelayan arahan dan kawalan. Orkestra itu diaktifkan oleh pemuat yang dipanggil BH_A006, yang sebelum ini dikaitkan dengan kumpulan ancaman China 'Pirates Angkasa' yang disyaki, yang terkenal menyasarkan organisasi Rusia.

Alat lain dalam senjata malware BrazenBamboo ialah DEEPPOST, alat penyingkiran data pasca eksploitasi yang mampu menghantar fail ke titik akhir jauh. Bersama-sama, DEEPDATA dan DEEPPOST meningkatkan dengan ketara keupayaan pengintipan siber aktor ancaman itu, berdasarkan kerja terdahulu dengan LightSpy, yang kini menyasarkan macOS, iOS dan Windows.

Terdapat persamaan kod dan infrastruktur yang ketara antara LightSpy dan DEEPDATA, yang menunjukkan bahawa kedua-dua keluarga perisian hasad berkemungkinan dibangunkan oleh perusahaan swasta yang sama, yang berpotensi dikontrak untuk mencipta alat penggodaman untuk kegunaan kerajaan.