DEEPDATA Malware

Një aktor kërcënimi që vepron nën pseudonimin BrazenBamboo ka shfrytëzuar një cenueshmëri të pazgjidhur në FortiClient për Windows të Fortinet për të mbledhur kredencialet VPN. Ky aktivitet është pjesë e një kuadri të sofistikuar modular të referuar si DEEPDATA.

Studiuesit që analizuan këtë fushatë zbuluan shfrytëzimin e cenueshmërisë së zbulimit të kredencialeve zero-ditore në korrik 2024. Ata ia kanë atribuar zhvillimin e DEEPDATA, DEEPPOST dhe LightSpy BrazenBamboo.

Çfarë është malware DEEPDATA

DEEPDATA është një mjet modular post-shfrytëzimi i krijuar për sistemin operativ Windows, i aftë për të mbledhur informacion të gjerë nga pajisjet e komprometuara. Fillimisht u soll në vëmendje kur specialistët e sigurisë kibernetike analizuan kuadrin e mbikëqyrjes të bazuar në Windows, duke e lidhur atë me aktorin e kërcënimit APT41 të lidhur me Kinën. DEEPDATA është përdorur për nxjerrjen e të dhënave nga platformat e komunikimit si WhatsApp, Telegram, Signal, WeChat, LINE, QQ dhe Skype, si dhe Microsoft Outlook, DingDing, Feishu, KeePass, kredencialet e aplikacionit, të dhënat e shfletuesit, rrjetet Wi-Fi dhe softuerin e instaluar.

Në zemër të DEEPDATA është një ngarkues i bibliotekës me lidhje dinamike (DLL) i njohur si data.dll, i cili është krijuar për të deshifruar dhe vendosur 12 shtojca të veçanta nëpërmjet një moduli orkestruesi të quajtur frame.dll. Midis këtyre shtojcave është një FortiClient DLL i sapoidentifikuar, i aftë për të mbledhur kredencialet VPN.

Kjo shtojcë përfiton nga një cenueshmëri e papatched zero-day në klientin Fortinet VPN për Windows. Duke shfrytëzuar këtë të metë, ai merr kredencialet e përdoruesit direkt nga kujtesa e procesit të klientit.

Kërcënime të tjera të dëmshme Pjesë e Arsenalit BrazenBamboo

Që nga krijimi i implantit të softuerit spiun LightSpy në 2022, sulmuesi është fokusuar vazhdimisht në shënjestrimin strategjik të platformave të komunikimit, duke i dhënë përparësi fshehtësisë dhe aksesit të qëndrueshëm. Versioni Windows i LightSpy ndryshon nga variantet e tjera të OS në arkitekturën e tij. Ai vendoset përmes një instaluesi që ngarkon një bibliotekë për të ekzekutuar kodin shell në memorie. Ky shellcode më pas shkarkon dhe dekodon komponentin e orkestruesit nga serveri i komandës dhe kontrollit. Orkestratori aktivizohet nga një ngarkues i quajtur BH_A006, i cili ka qenë i lidhur më parë me grupin e dyshuar kinez të kërcënimit "Piratët e Hapësirës", i njohur për shënjestrimin e organizatave ruse.

Një mjet tjetër në arsenalin e malware të BrazenBamboo është DEEPPOST, një mjet i eksplorimit të të dhënave pas shfrytëzimit i aftë për të dërguar skedarë në një pikë fundore të largët. Së bashku, DEEPDATA dhe DEEPPOST përmirësojnë ndjeshëm aftësitë e spiunazhit kibernetik të aktorit të kërcënimit, duke u mbështetur në punën e mëparshme me LightSpy, i cili tani synon macOS, iOS dhe Windows.

Ekzistojnë ngjashmëri të dukshme të kodit dhe infrastrukturës midis LightSpy dhe DEEPDATA, duke treguar se të dy familjet e malware janë zhvilluar nga e njëjta ndërmarrje private, e kontraktuar potencialisht për të krijuar mjete hakerimi për përdorim qeveritar.