DEEPDATA-malware

Een dreigingsactor die opereert onder de alias BrazenBamboo heeft een ongepatchte kwetsbaarheid in Fortinet's FortiClient voor Windows misbruikt om VPN-referenties te verzamelen. Deze activiteit is onderdeel van een geavanceerd modulair raamwerk dat DEEPDATA wordt genoemd.

Onderzoekers die deze campagne analyseerden, ontdekten in juli 2024 dat er misbruik werd gemaakt van de kwetsbaarheid voor het vrijgeven van zero-day-inloggegevens. Ze hebben de ontwikkeling van DEEPDATA, DEEPPOST en LightSpy toegeschreven aan BrazenBamboo.

Wat is de DEEPDATA-malware?

DEEPDATA is een modulaire post-exploitatietool die is ontworpen voor het Windows-besturingssysteem en die uitgebreide informatie van gecompromitteerde apparaten kan verzamelen. Het werd voor het eerst onder de aandacht gebracht toen cybersecurityspecialisten het op Windows gebaseerde surveillanceframework analyseerden en het koppelden aan de met China geassocieerde APT41-dreigingsactor. DEEPDATA is gebruikt om gegevens te extraheren uit communicatieplatforms zoals WhatsApp, Telegram, Signal, WeChat, LINE, QQ en Skype, evenals Microsoft Outlook, DingDing, Feishu, KeePass, applicatiereferenties, browsergegevens, wifi-netwerken en geïnstalleerde software.

De kern van DEEPDATA is een dynamic-link library (DLL) loader die bekend staat als data.dll, die is ontworpen om 12 verschillende plugins te decoderen en te implementeren via een orchestratormodule genaamd frame.dll. Een van deze plugins is een onlangs geïdentificeerde FortiClient DLL, die VPN-referenties kan verzamelen.

Deze plugin maakt gebruik van een ongepatchte zero-day kwetsbaarheid in de Fortinet VPN-client voor Windows. Door deze fout te exploiteren, haalt het gebruikersreferenties rechtstreeks op uit het geheugen van het proces van de client.

Andere schadelijke bedreigingen die deel uitmaken van het BrazenBamboo-arsenaal

Sinds de creatie van het LightSpy-spyware-implantaat in 2022, heeft de aanvaller zich consequent gericht op het strategisch targeten van communicatieplatforms, waarbij stealth en aanhoudende toegang prioriteit krijgen. De Windows-versie van LightSpy verschilt van andere OS-varianten in zijn architectuur. Het wordt geïmplementeerd via een installatieprogramma dat een bibliotheek laadt om shellcode in het geheugen uit te voeren. Deze shellcode downloadt en decodeert vervolgens het orchestratorcomponent van de command-and-control-server. De orchestrator wordt geactiveerd door een loader genaamd BH_A006, die eerder in verband is gebracht met de vermoedelijke Chinese dreigingsgroep 'Space Pirates', die bekendstaat om het targeten van Russische organisaties.

Een andere tool in BrazenBamboo's malware-arsenaal is DEEPPOST, een post-exploitation data-exfiltratietool die bestanden naar een extern eindpunt kan sturen. Samen verbeteren DEEPDATA en DEEPPOST de cyberespionagemogelijkheden van de dreigingsactor aanzienlijk, voortbouwend op het eerdere werk met LightSpy, dat nu gericht is op macOS, iOS en Windows.

Er zijn opvallende overeenkomsten in de code en infrastructuur tussen LightSpy en DEEPDATA. Dit geeft aan dat beide malwarefamilies waarschijnlijk door dezelfde particuliere onderneming zijn ontwikkeld, die mogelijk is ingehuurd om hackingtools te maken voor gebruik door de overheid.