Oprogramowanie złośliwe DEEPDATA

Aktor zagrożeń działający pod pseudonimem BrazenBamboo wykorzystał niezałataną lukę w zabezpieczeniach FortiClient for Windows firmy Fortinet, aby zebrać dane uwierzytelniające VPN. Ta aktywność jest częścią zaawansowanego modułowego frameworka określanego jako DEEPDATA.

Badacze analizujący tę kampanię odkryli w lipcu 2024 r. wykorzystanie luki w zabezpieczeniach polegającej na ujawnieniu poświadczeń typu zero-day. Przypisali oni rozwój DEEPDATA, DEEPPOST i LightSpy firmie BrazenBamboo.

Czym jest złośliwe oprogramowanie DEEPDATA

DEEPDATA to modułowe narzędzie post-exploitation zaprojektowane dla systemu operacyjnego Windows, zdolne do zbierania obszernych informacji z zainfekowanych urządzeń. Początkowo zwrócono na nie uwagę, gdy specjaliści ds. cyberbezpieczeństwa przeanalizowali ramy nadzoru oparte na systemie Windows, łącząc je z aktorem zagrożenia APT41 powiązanym z Chinami. DEEPDATA zostało użyte do wyodrębnienia danych z platform komunikacyjnych, takich jak WhatsApp, Telegram, Signal, WeChat, LINE, QQ i Skype, a także Microsoft Outlook, DingDing, Feishu, KeePass, poświadczeń aplikacji, danych przeglądarki, sieci Wi-Fi i zainstalowanego oprogramowania.

Sercem DEEPDATA jest ładowarka biblioteki dołączanej dynamicznie (DLL) znana jako data.dll, która została zaprojektowana do odszyfrowywania i wdrażania 12 odrębnych wtyczek za pośrednictwem modułu orkiestratora o nazwie frame.dll. Wśród tych wtyczek znajduje się nowo zidentyfikowana biblioteka FortiClient DLL, która może zbierać dane uwierzytelniające VPN.

Ta wtyczka wykorzystuje niezałataną lukę typu zero-day w kliencie Fortinet VPN dla systemu Windows. Wykorzystując tę lukę, pobiera dane uwierzytelniające użytkownika bezpośrednio z pamięci procesu klienta.

Inne szkodliwe zagrożenia stanowią część arsenału BrazenBamboo

Od czasu stworzenia implantu spyware LightSpy w 2022 r. atakujący konsekwentnie koncentrował się na strategicznym atakowaniu platform komunikacyjnych, priorytetowo traktując ukrycie i stały dostęp. Wersja LightSpy dla systemu Windows różni się od innych wariantów systemu operacyjnego swoją architekturą. Jest wdrażana za pośrednictwem instalatora, który ładuje bibliotekę w celu wykonania kodu powłoki w pamięci. Następnie ten kod powłoki pobiera i dekoduje komponent orkiestratora z serwera poleceń i kontroli. Orkiestrator jest aktywowany przez ładowarkę o nazwie BH_A006, która była wcześniej kojarzona z podejrzaną chińską grupą zagrożeń „Space Pirates”, znaną z atakowania rosyjskich organizacji.

Innym narzędziem w arsenale złośliwego oprogramowania BrazenBamboo jest DEEPPOST, narzędzie do eksfiltracji danych po eksploatacji, które może wysyłać pliki do zdalnego punktu końcowego. Razem DEEPDATA i DEEPPOST znacznie zwiększają możliwości cybernetycznego szpiegostwa sprawcy zagrożenia, opierając się na wcześniejszej pracy z LightSpy, która teraz atakuje macOS, iOS i Windows.

Istnieją znaczące podobieństwa w kodzie i infrastrukturze między LightSpy i DEEPDATA, co wskazuje na to, że obie rodziny złośliwego oprogramowania są najprawdopodobniej tworzone przez to samo przedsiębiorstwo prywatne, potencjalnie zatrudnione do tworzenia narzędzi hakerskich na potrzeby rządowe.