DEEPDATA Malware

Un actor de amenințări care operează sub pseudonimul BrazenBamboo a exploatat o vulnerabilitate nepatchată în FortiClient pentru Windows de la Fortinet pentru a colecta acreditări VPN. Această activitate face parte dintr-un cadru modular sofisticat denumit DEEPDATA.

Cercetătorii care analizează această campanie au descoperit exploatarea vulnerabilității de divulgare a acreditărilor zero-day în iulie 2024. Ei au atribuit dezvoltarea DEEPDATA, DEEPPOST și LightSpy lui BrazenBamboo.

Ce este programul malware DEEPDATA

DEEPDATA este un instrument modular de post-exploatare conceput pentru sistemul de operare Windows, capabil să colecteze informații extinse de pe dispozitivele compromise. A fost inițial adus în atenție atunci când specialiștii în securitate cibernetică au analizat cadrul de supraveghere bazat pe Windows, legându-l de actorul de amenințare APT41 asociat Chinei. DEEPDATA a fost folosit pentru a extrage date de pe platforme de comunicare precum WhatsApp, Telegram, Signal, WeChat, LINE, QQ și Skype, precum și Microsoft Outlook, DingDing, Feishu, KeePass, acreditările aplicației, datele browserului, rețelele Wi-Fi și software-ul instalat.

În centrul DEEPDATA se află un încărcător de bibliotecă cu legături dinamice (DLL) cunoscut sub numele de data.dll, care este proiectat să decripteze și să implementeze 12 plugin-uri distincte prin intermediul unui modul orchestrator numit frame.dll. Printre aceste plugin-uri se numără un DLL FortiClient recent identificat, capabil să colecteze acreditări VPN.

Acest plugin profită de o vulnerabilitate nepattched zero-day în clientul Fortinet VPN pentru Windows. Prin exploatarea acestui defect, preia acreditările utilizatorului direct din memoria procesului clientului.

Alte amenințări dăunătoare fac parte din Arsenalul BrazenBamboo

De la crearea implantului de spyware LightSpy în 2022, atacatorul s-a concentrat în mod constant pe țintirea strategică a platformelor de comunicare, acordând prioritate stealth-ului și accesului susținut. Versiunea Windows a LightSpy diferă de alte variante ale sistemului de operare în arhitectura sa. Este implementat printr-un program de instalare care încarcă o bibliotecă pentru a executa shellcode în memorie. Acest shellcode apoi descarcă și decodifică componenta orchestrator de pe serverul de comandă și control. Orchestratorul este activat de un încărcător numit BH_A006, care a fost asociat anterior cu presupusul grup chinez de amenințare „Space Pirates”, cunoscut pentru că vizează organizațiile rusești.

Un alt instrument din arsenalul de malware al BrazenBamboo este DEEPPOST, un instrument de exfiltrare a datelor post-exploatare capabil să trimită fișiere la un punct final de la distanță. Împreună, DEEPDATA și DEEPPOST îmbunătățesc semnificativ capacitățile de spionaj cibernetic ale actorului amenințării, bazându-se pe munca anterioară cu LightSpy, care vizează acum macOS, iOS și Windows.

Există asemănări notabile de cod și infrastructură între LightSpy și DEEPDATA, ceea ce indică faptul că ambele familii de malware sunt probabil dezvoltate de aceeași întreprindere privată, potențial contractată pentru a crea instrumente de hacking pentru uz guvernamental.