DEEPDATA Zlonamerna programska oprema

Akter grožnje, ki deluje pod vzdevkom BrazenBamboo, je izkoristil nepopravljeno ranljivost v Fortinetovem FortiClient za Windows za zbiranje poverilnic VPN. Ta dejavnost je del prefinjenega modularnega okvira, imenovanega DEEPDATA.

Raziskovalci, ki so analizirali to kampanjo, so julija 2024 odkrili izkoriščanje ranljivosti razkritja poverilnic ničelnega dne. Razvoj DEEPDATA, DEEPPOST in LightSpy so pripisali podjetju BrazenBamboo.

Kaj je zlonamerna programska oprema DEEPDATA

DEEPDATA je modularno orodje po izkoriščanju, zasnovano za operacijski sistem Windows, ki lahko zbira obsežne informacije iz ogroženih naprav. Nanj so najprej opozorili, ko so strokovnjaki za kibernetsko varnost analizirali nadzorni okvir, ki temelji na operacijskem sistemu Windows, in ga povezali s akterjem grožnje APT41, povezanim s Kitajsko. DEEPDATA je bil uporabljen za pridobivanje podatkov iz komunikacijskih platform, kot so WhatsApp, Telegram, Signal, WeChat, LINE, QQ in Skype, pa tudi Microsoft Outlook, DingDing, Feishu, KeePass, poverilnice aplikacije, podatki brskalnika, omrežja Wi-Fi in nameščeno programsko opremo.

V središču DEEPDATA je nalagalnik dinamično povezovalne knjižnice (DLL), znan kot data.dll, ki je zasnovan za dešifriranje in uvajanje 12 različnih vtičnikov prek orkestrskega modula, imenovanega frame.dll. Med temi vtičniki je na novo identificiran FortiClient DLL, ki lahko zbira poverilnice VPN.

Ta vtičnik izkorišča nepopravljeno ranljivost zero-day v odjemalcu Fortinet VPN za Windows. Z izkoriščanjem te napake pridobi uporabniške poverilnice neposredno iz pomnilnika odjemalčevega procesa.

Druge škodljive grožnje del arzenala BrazenBamboo

Odkar je leta 2022 ustvaril vsadek vohunske programske opreme LightSpy, se je napadalec dosledno osredotočal na strateško ciljanje na komunikacijske platforme, pri čemer je dajal prednost prikritemu in trajnemu dostopu. Različica LightSpy za Windows se razlikuje od drugih različic OS po svoji arhitekturi. Razmesti se prek namestitvenega programa, ki naloži knjižnico za izvajanje kode lupine v pomnilniku. Ta lupinska koda nato prenese in dekodira komponento orkestratorja iz ukazno-nadzornega strežnika. Orkestratorja aktivira nakladalnik z imenom BH_A006, ki je bil prej povezan z domnevno kitajsko groženjsko skupino 'Space Pirates', znano po napadih na ruske organizacije.

Drugo orodje v arzenalu zlonamerne programske opreme BrazenBamboo je DEEPPOST, orodje za ekstrakcijo podatkov po izkoriščanju, ki lahko pošilja datoteke na oddaljeno končno točko. DEEPDATA in DEEPPOST skupaj znatno izboljšata kibernetsko vohunjenje akterja grožnje, pri čemer gradita na prejšnjem delu z LightSpy, ki zdaj cilja na macOS, iOS in Windows.

Obstajajo opazne podobnosti kode in infrastrukture med LightSpy in DEEPDATA, kar kaže na to, da obe družini zlonamerne programske opreme verjetno razvija isto zasebno podjetje, ki bi lahko sklenilo pogodbo za ustvarjanje hekerskih orodij za vladno uporabo.