DEEPDATA Malvér

Hrozbový aktér pôsobiaci pod aliasom BrazenBamboo využil neopravenú zraniteľnosť v FortiClient for Windows od Fortinet na zber poverení VPN. Táto aktivita je súčasťou sofistikovaného modulárneho rámca označovaného ako DEEPDATA.

Výskumníci, ktorí analyzovali túto kampaň, odhalili v júli 2024 zneužitie nultého dňa pri odhalení poverení. Vývoj DEEPDATA, DEEPPOST a LightSpy pripísali BrazenBamboo.

Čo je to malvér DEEPDATA

DEEPDATA je modulárny nástroj po exploatácii navrhnutý pre operačný systém Windows, ktorý je schopný zhromažďovať rozsiahle informácie z napadnutých zariadení. Pôvodne sa na to upozornilo, keď špecialisti na kybernetickú bezpečnosť analyzovali rámec sledovania založený na systéme Windows a prepojili ho s aktérom hrozby APT41 spojeným s Čínou. DEEPDATA sa používa na extrahovanie údajov z komunikačných platforiem, ako sú WhatsApp, Telegram, Signal, WeChat, LINE, QQ a Skype, ako aj Microsoft Outlook, DingDing, Feishu, KeePass, poverenia aplikácií, údaje prehliadača, siete Wi-Fi a nainštalovaný softvér.

Srdcom DEEPDATA je zavádzač dynamickej knižnice (DLL) známy ako data.dll, ktorý je navrhnutý na dešifrovanie a nasadenie 12 rôznych doplnkov prostredníctvom modulu orchestrátora s názvom frame.dll. Medzi týmito doplnkami je novo identifikovaná knižnica FortiClient DLL, ktorá je schopná získavať poverenia VPN.

Tento doplnok využíva neopravenú zero-day zraniteľnosť v klientovi Fortinet VPN pre Windows. Využitím tejto chyby získava používateľské poverenia priamo z pamäte procesu klienta.

Iné škodlivé hrozby Súčasť arzenálu BrazenBamboo

Od vytvorenia spywarového implantátu LightSpy v roku 2022 sa útočník dôsledne zameriaval na strategické cielenie komunikačných platforiem, pričom uprednostňoval utajenie a trvalý prístup. Verzia LightSpy pre Windows sa líši od ostatných variantov OS svojou architektúrou. Je nasadený prostredníctvom inštalačného programu, ktorý načíta knižnicu na spustenie shell kódu v pamäti. Tento shell kód potom stiahne a dekóduje komponent orchestrátora z príkazového a riadiaceho servera. Orchestrator je aktivovaný nakladačom s názvom BH_A006, ktorý bol predtým spájaný s podozrivou čínskou skupinou hrozieb „Vesmírni piráti“, ktorá je známa tým, že sa zameriava na ruské organizácie.

Ďalším nástrojom v arzenáli malvéru BrazenBamboo je DEEPPOST, nástroj na exfiltráciu údajov po exploatácii, ktorý dokáže odosielať súbory na vzdialený koncový bod. Spoločne DEEPDATA a DEEPPOST výrazne zlepšujú možnosti kybernetickej špionáže aktéra hrozby, pričom stavajú na predchádzajúcej práci s LightSpy, ktorá sa teraz zameriava na macOS, iOS a Windows.

Medzi LightSpy a DEEPDATA existujú pozoruhodné podobnosti v kóde a infraštruktúre, čo naznačuje, že obe rodiny malvéru sú pravdepodobne vyvinuté tým istým súkromným podnikom, ktorý je potenciálne kontrahovaný na vytváranie hackerských nástrojov pre vládne použitie.