DEEPDATA skadelig programvare

En trusselaktør som opererer under aliaset BrazenBamboo har utnyttet en uoppdatert sårbarhet i Fortinets FortiClient for Windows for å hente VPN-legitimasjon. Denne aktiviteten er en del av et sofistikert modulært rammeverk referert til som DEEPDATA.

Forskere som analyserte denne kampanjen avdekket utnyttelsen av sikkerhetsproblemet med nulldagers avsløring av legitimasjon i juli 2024. De har tilskrevet utviklingen av DEEPDATA, DEEPPOST og LightSpy til BrazenBamboo.

Hva er DEEPDATA Malware

DEEPDATA er et modulært post-utnyttelsesverktøy designet for Windows-operativsystemet, i stand til å samle inn omfattende informasjon fra kompromitterte enheter. Det ble først gjort oppmerksom på det da cybersikkerhetsspesialister analyserte det Windows-baserte overvåkingsrammeverket, og koblet det til den Kina-assosierte APT41-trusselsaktøren. DEEPDATA har blitt brukt til å trekke ut data fra kommunikasjonsplattformer som WhatsApp, Telegram, Signal, WeChat, LINE, QQ og Skype, samt Microsoft Outlook, DingDing, Feishu, KeePass, applikasjonslegitimasjon, nettleserdata, Wi-Fi-nettverk og installert programvare.

I hjertet av DEEPDATA er en dynamic-link library (DLL)-laster kjent som data.dll, som er designet for å dekryptere og distribuere 12 forskjellige plugins via en orkestratormodul kalt frame.dll. Blant disse pluginene er en nylig identifisert FortiClient DLL, som er i stand til å hente VPN-legitimasjon.

Denne plugin-en drar nytte av en uopprettet null-dagers sårbarhet i Fortinet VPN-klient for Windows. Ved å utnytte denne feilen, henter den brukerlegitimasjon direkte fra minnet til klientens prosess.

Andre skadelige trusler En del av BrazenBamboo Arsenal

Siden opprettelsen av LightSpy-spyware-implantatet i 2022, har angriperen konsekvent fokusert på strategisk målretting av kommunikasjonsplattformer, prioritert sniking og vedvarende tilgang. Windows-versjonen av LightSpy skiller seg fra andre OS-varianter i sin arkitektur. Det distribueres gjennom et installasjonsprogram som laster et bibliotek for å utføre shellcode i minnet. Denne skallkoden laster deretter ned og dekoder orkestratorkomponenten fra kommando-og-kontrollserveren. Orkestratoren aktiveres av en laster kalt BH_A006, som tidligere har vært assosiert med den mistenkte kinesiske trusselgruppen 'Space Pirates', kjent for å sikte mot russiske organisasjoner.

Et annet verktøy i BrazenBamboos skadevarearsenal er DEEPPOST, et dataeksfiltreringsverktøy etter utnyttelse som er i stand til å sende filer til et eksternt endepunkt. Sammen forbedrer DEEPDATA og DEEPPOST trusselaktørens cyberspionasjeevne betydelig, og bygger på det tidligere arbeidet med LightSpy, som nå retter seg mot macOS, iOS og Windows.

Det er bemerkelsesverdige kode- og infrastrukturlikheter mellom LightSpy og DEEPDATA, noe som indikerer at begge malwarefamiliene sannsynligvis er utviklet av samme private virksomhet, potensielt inngått kontrakt for å lage hackingverktøy for statlig bruk.