ДЕЕПДАТА Малвер

Актер претњи који ради под псеудонимом БразенБамбоо је искористио незакрпљену рањивост у Фортинет-овом ФортиЦлиент-у за Виндовс да прикупи ВПН акредитиве. Ова активност је део софистицираног модуларног оквира који се назива ДЕЕПДАТА.

Истраживачи који су анализирали ову кампању открили су искоришћавање рањивости откривања акредитива нултог дана у јулу 2024. Они су развој ДЕЕПДАТА, ДЕЕППОСТ и ЛигхтСпи приписали БразенБамбоо-у.

Шта је ДЕЕПДАТА малвер

ДЕЕПДАТА је модуларни алат за пост-експлоатацију дизајниран за Виндовс оперативни систем, способан да прикупи опсежне информације са компромитованих уређаја. Првобитно је скренута пажња када су стручњаци за сајбер безбедност анализирали оквир за надзор заснован на Виндовс-у, повезујући га са претњом АПТ41 повезаном са Кином. ДЕЕПДАТА се користи за издвајање података са комуникационих платформи као што су ВхатсАпп, Телеграм, Сигнал, ВеЦхат, ЛИНЕ, КК и Скипе, као и Мицрософт Оутлоок, ДингДинг, Феисху, КееПасс, акредитиви апликација, подаци претраживача, Ви-Фи мреже и инсталиран софтвер.

У срцу ДЕЕПДАТА је учитавач библиотеке динамичких веза (ДЛЛ) познат као дата.длл, који је дизајниран да дешифрује и примењује 12 различитих додатака преко оркестраторског модула под називом фраме.длл. Међу овим додацима је и ново идентификовани ФортиЦлиент ДЛЛ, способан за прикупљање ВПН акредитива.

Овај додатак користи предност незакрпљене рањивости нултог дана у Фортинет ВПН клијенту за Виндовс. Искоришћавањем ове мане, преузима корисничке акредитиве директно из меморије клијентовог процеса.

Друге штетне претње Део арсенала БразенБамбоо

Од креирања ЛигхтСпи шпијунског импланта 2022. године, нападач се доследно фокусирао на стратешко циљање комуникационих платформи, дајући приоритет скривеном и трајном приступу. Виндовс верзија ЛигхтСпи-а се разликује од осталих варијанти ОС-а по својој архитектури. Примењује се преко инсталатера који учитава библиотеку за извршавање схелл кода у меморији. Овај схеллцоде затим преузима и декодира компоненту оркестратора са сервера за команду и контролу. Оркестратор активира учитавач под називом БХ_А006, који је раније био повезан са наводном кинеском претњом групом 'Свемирски пирати', познатом по томе што циља на руске организације.

Још једна алатка у арсеналу злонамерног софтвера БразенБамбоо-а је ДЕЕППОСТ, алатка за ексфилтрацију података након експлоатације која може да шаље датотеке на удаљену крајњу тачку. Заједно, ДЕЕПДАТА и ДЕЕППОСТ значајно побољшавају могућности сајбер шпијунаже актера претње, надовезујући се на ранији рад са ЛигхтСпи, који сада циља на мацОС, иОС и Виндовс.

Постоје значајне сличности кода и инфраструктуре између ЛигхтСпи-а и ДЕЕПДАТА, што указује да су обе породице малвера вероватно развијене од стране истог приватног предузећа, потенцијално уговореног за креирање хакерских алата за владину употребу.