DEEPDATA मालवेयर
BrazenBamboo उपनाम अन्तर्गत सञ्चालन गर्ने एक खतरा अभिनेताले फोर्टिनेटको फोर्टि क्लाइन्टमा विन्डोजको लागि VPN प्रमाणहरू काट्नको लागि एक अनप्याच गरिएको जोखिमको लाभ उठाएको छ। यो गतिविधि DEEPDATA भनिने परिष्कृत मोड्युलर फ्रेमवर्कको अंश हो।
यस अभियानको विश्लेषण गर्ने अन्वेषकहरूले जुलाई 2024 मा शून्य-दिन प्रमाण प्रकटीकरण जोखिमको शोषणको पर्दाफास गरे। तिनीहरूले DEEPDATA, DEEPPOST, र LightSpy को विकासको श्रेय BrazenBamboo लाई दिएका छन्।
DEEPDATA मालवेयर के हो
DEEPDATA एक मोड्युलर पोस्ट-शोषण उपकरण हो जुन विन्डोज अपरेटिङ सिस्टमको लागि डिजाइन गरिएको हो, सम्झौता गरिएका उपकरणहरूबाट विस्तृत जानकारी सङ्कलन गर्न सक्षम छ। यो प्रारम्भमा ध्यानमा ल्याइएको थियो जब साइबर सुरक्षा विशेषज्ञहरूले Windows-आधारित निगरानी फ्रेमवर्कको विश्लेषण गरे, यसलाई चीन-सम्बद्ध APT41 खतरा अभिनेतासँग जोडेर। DEEPDATA संचार प्लेटफर्महरू जस्तै व्हाट्सएप, टेलिग्राम, सिग्नल, WeChat, LINE, QQ, र Skype, साथै माइक्रोसफ्ट आउटलुक, DingDing, Feishu, KeePass, अनुप्रयोग प्रमाणहरू, ब्राउजर डेटा, Wi-Fi नेटवर्कहरू, र बाट डाटा निकाल्न प्रयोग गरिएको छ। स्थापित सफ्टवेयर।
DEEPDATA को मुटुमा data.dll भनेर चिनिने डायनामिक-लिङ्क लाइब्रेरी (DLL) लोडर छ, जुन frame.dll नामक अर्केस्ट्रेटर मोड्युल मार्फत १२ भिन्न प्लगइनहरू डिक्रिप्ट र डिप्लोय गर्न डिजाइन गरिएको हो। यी प्लगइनहरू मध्ये एक नयाँ पहिचान गरिएको FortiClient DLL हो, VPN प्रमाणहरू काट्न सक्षम छ।
यो प्लगइनले विन्डोजको लागि फोर्टिनेट VPN क्लाइन्टमा अनप्याच गरिएको शून्य-दिन जोखिमको फाइदा लिन्छ। यस त्रुटिको शोषण गरेर, यसले ग्राहकको प्रक्रियाको मेमोरीबाट सीधा प्रयोगकर्ता प्रमाणहरू पुन: प्राप्त गर्दछ।
ब्राजेनबाम्बू आर्सेनलको अन्य हानिकारक खतराहरू
2022 मा LightSpy स्पाइवेयर इम्प्लान्ट सिर्जना गरेदेखि, आक्रमणकर्ताले लगातार रणनीतिक रूपमा संचार प्लेटफर्महरू लक्षित गर्दै, चोरी र दिगो पहुँचलाई प्राथमिकता दिँदै। LightSpy को Windows संस्करण यसको वास्तुकलामा अन्य OS भेरियन्टहरू भन्दा फरक छ। यो एक स्थापनाकर्ता मार्फत तैनात गरिएको छ जसले मेमोरीमा शेलकोड कार्यान्वयन गर्न पुस्तकालय लोड गर्दछ। यो शेलकोडले आदेश-र-नियन्त्रण सर्भरबाट अर्केस्ट्रेटर कम्पोनेन्ट डाउनलोड र डिकोड गर्छ। अर्केस्ट्रेटरलाई BH_A006 भनिने लोडरद्वारा सक्रिय गरिएको छ, जुन पहिले रूसी संगठनहरूलाई लक्षित गर्नका लागि परिचित चिनियाँ खतरा समूह 'स्पेस पाइरेट्स' सँग सम्बन्धित थियो।
BrazenBamboo को मालवेयर शस्त्रागार मा अर्को उपकरण DEEPPOST, एक टाढाको अन्त बिन्दुमा फाइलहरू पठाउन सक्षम पोस्ट-शोषण डाटा exfiltration उपकरण हो। सँगसँगै, DEEPDATA र DEEPPOST ले खतरा अभिनेताको साइबर जासूसी क्षमताहरूलाई उल्लेखनीय रूपमा बढाउँछ, LightSpy सँग पहिलेको काममा निर्माण गर्दै, जसले अब macOS, iOS र Windows लाई लक्षित गर्दछ।
LightSpy र DEEPDATA बीचको उल्लेखनीय कोड र पूर्वाधार समानताहरू छन्, यसले संकेत गर्दछ कि दुबै मालवेयर परिवारहरू सम्भवतः एउटै निजी उद्यमद्वारा विकसित गरिएको हो, सम्भावित रूपमा सरकारी प्रयोगको लागि ह्याकिंग उपकरणहरू सिर्जना गर्न सम्झौता गरिएको छ।
