DEEPDATA Malware

Um agente de ameaça operando sob o pseudônimo BrazenBamboo aproveitou uma vulnerabilidade não corrigida no FortiClient para Windows da Fortinet para coletar credenciais de VPN. Essa atividade faz parte de uma estrutura modular sofisticada chamada DEEPDATA.

Pesquisadores que analisaram esta campanha descobriram a exploração da vulnerabilidade de divulgação de credenciais de dia zero em julho de 2024. Eles atribuíram o desenvolvimento do DEEPDATA, DEEPPOST e LightSpy ao BrazenBamboo.

O Que é o DEEPDATA Malware 

DEEPDATA é uma ferramenta modular de pós-exploração projetada para o sistema operacional Windows, capaz de coletar informações extensas de dispositivos comprometidos. Ela foi inicialmente trazida à atenção quando especialistas em segurança cibernética analisaram a estrutura de vigilância baseada no Windows, vinculando-a ao ator de ameaça APT41 associado à China. DEEPDATA tem sido usado para extrair dados de plataformas de comunicação como WhatsApp, Telegram, Signal, WeChat, LINE, QQ e Skype, bem como Microsoft Outlook, DingDing, Feishu, KeePass, credenciais de aplicativos, dados do navegador, redes Wi-Fi e software instalado.

No coração do DEEPDATA está um carregador de biblioteca de vínculo dinâmico (DLL) conhecido como data.dll, que é projetado para descriptografar e implantar 12 plugins distintos por meio de um módulo orquestrador chamado frame.dll. Entre esses plugins está uma DLL FortiClient recém-identificada, capaz de coletar credenciais de VPN.

Este plugin tira vantagem de uma vulnerabilidade zero-day não corrigida no cliente Fortinet VPN para Windows. Ao explorar essa falha, ele recupera credenciais de usuário diretamente da memória do processo do cliente.

Outras Ameaças Prejudiciais Fazem Parte do Arsenal do BrazenBamboo

Desde a criação do implante de spyware LightSpy em 2022, o invasor tem se concentrado consistentemente em mirar estrategicamente em plataformas de comunicação, priorizando o acesso furtivo e sustentado. A versão Windows do LightSpy difere de outras variantes do sistema operacional em sua arquitetura. Ele é implantado por meio de um instalador que carrega uma biblioteca para executar o shellcode na memória. Esse shellcode então baixa e decodifica o componente orquestrador do servidor de comando e controle. O orquestrador é ativado por um carregador chamado BH_A006, que foi anteriormente associado ao suspeito grupo de ameaças chinês 'Space Pirates', conhecido por mirar em organizações russas.

Outra ferramenta no arsenal de malware da BrazenBamboo é o DEEPPOST, uma ferramenta de exfiltração de dados pós-exploração capaz de enviar arquivos para um endpoint remoto. Juntos, DEEPDATA e DEEPPOST melhoram significativamente as capacidades de espionagem cibernética do agente de ameaças, com base no trabalho anterior com o LightSpy, que agora tem como alvo macOS, iOS e Windows.

Há semelhanças notáveis de código e infraestrutura entre o LightSpy e o DEEPDATA, indicando que ambas as famílias de malware provavelmente são desenvolvidas pela mesma empresa privada, potencialmente contratada para criar ferramentas de hacking para uso governamental.