Вредоносное ПО DEEPDATA

Злоумышленник, действующий под псевдонимом BrazenBamboo, использовал неисправленную уязвимость в FortiClient for Windows от Fortinet для сбора учетных данных VPN. Эта деятельность является частью сложной модульной структуры, называемой DEEPDATA.

Исследователи, анализирующие эту кампанию, обнаружили эксплуатацию уязвимости раскрытия учетных данных нулевого дня в июле 2024 года. Они приписали разработку DEEPDATA, DEEPPOST и LightSpy компании BrazenBamboo.

Что такое вредоносное ПО DEEPDATA?

DEEPDATA — это модульный инструмент постэксплуатации, разработанный для операционной системы Windows, способный собирать обширную информацию со скомпрометированных устройств. Первоначально он был привлечен к вниманию, когда специалисты по кибербезопасности проанализировали фреймворк наблюдения на базе Windows, связав его с китайским субъектом угроз APT41. DEEPDATA использовался для извлечения данных из таких коммуникационных платформ, как WhatsApp, Telegram, Signal, WeChat, LINE, QQ и Skype, а также Microsoft Outlook, DingDing, Feishu, KeePass, учетных данных приложений, данных браузера, сетей Wi-Fi и установленного программного обеспечения.

В основе DEEPDATA лежит загрузчик библиотеки динамической компоновки (DLL), известный как data.dll, который предназначен для расшифровки и развертывания 12 различных плагинов через модуль оркестратора с именем frame.dll. Среди этих плагинов есть недавно идентифицированный FortiClient DLL, способный собирать учетные данные VPN.

Этот плагин использует неисправленную уязвимость нулевого дня в клиенте Fortinet VPN для Windows. Эксплуатируя этот недостаток, он извлекает учетные данные пользователя непосредственно из памяти процесса клиента.

Другие опасные угрозы, часть арсенала BrazenBamboo

С момента создания шпионского импланта LightSpy в 2022 году злоумышленник постоянно фокусировался на стратегическом нацеливании на коммуникационные платформы, отдавая приоритет скрытности и постоянному доступу. Версия LightSpy для Windows отличается от других вариантов ОС своей архитектурой. Она развертывается с помощью установщика, который загружает библиотеку для выполнения шелл-кода в памяти. Затем этот шелл-код загружает и декодирует компонент оркестратора с сервера управления и контроля. Оркестратор активируется загрузчиком под названием BH_A006, который ранее был связан с предполагаемой китайской группой угроз «Космические пираты», известной своими атаками на российские организации.

Еще один инструмент в арсенале вредоносных программ BrazenBamboo — DEEPPOST, инструмент для извлечения данных после эксплуатации, способный отправлять файлы на удаленную конечную точку. Вместе DEEPDATA и DEEPPOST значительно расширяют возможности кибершпионажа злоумышленников, опираясь на более раннюю работу с LightSpy, которая теперь нацелена на macOS, iOS и Windows.

Между LightSpy и DEEPDATA имеются заметные сходства кода и инфраструктуры, указывающие на то, что оба семейства вредоносных программ, вероятно, разработаны одним и тем же частным предприятием, потенциально нанятым для создания хакерских инструментов для использования правительством.