Rabattoffert för flera licenser
Hotdatabas Skadlig programvara DEEPDATA skadlig programvara

DEEPDATA skadlig programvara

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:
Svenska

En hotaktör som verkar under aliaset BrazenBamboo har utnyttjat en oparpad sårbarhet i Fortinets FortiClient för Windows för att samla in VPN-uppgifter. Denna aktivitet är en del av ett sofistikerat modulärt ramverk som kallas DEEPDATA.

Forskare som analyserade den här kampanjen avslöjade utnyttjandet av sårbarheten för avslöjande av nolldagars autentiseringsuppgifter i juli 2024. De har tillskrivit utvecklingen av DEEPDATA, DEEPPOST och LightSpy till BrazenBamboo.

Vad är DEEPDATA Malware

DEEPDATA är ett modulärt verktyg efter exploatering som är designat för Windows-operativsystemet, som kan samla in omfattande information från komprometterade enheter. Det uppmärksammades först när cybersäkerhetsspecialister analyserade det Windows-baserade övervakningsramverket och kopplade det till den Kina-associerade APT41-hotaktören. DEEPDATA har använts för att extrahera data från kommunikationsplattformar som WhatsApp, Telegram, Signal, WeChat, LINE, QQ och Skype, såväl som Microsoft Outlook, DingDing, Feishu, KeePass, applikationsuppgifter, webbläsardata, Wi-Fi-nätverk och installerad programvara.

Hjärtat i DEEPDATA är en DLL-läsare (dynamic-link library) känd som data.dll, som är utformad för att dekryptera och distribuera 12 distinkta plugins via en orkestratormodul som heter frame.dll. Bland dessa plugins finns en nyligen identifierad FortiClient DLL, som kan samla in VPN-uppgifter.

Denna plugin drar fördel av en oparpad nolldagarssårbarhet i Fortinet VPN-klient för Windows. Genom att utnyttja denna brist, hämtar den användaruppgifter direkt från minnet av klientens process.

Andra skadliga hot En del av BrazenBamboo Arsenal

Sedan man skapade LightSpy-spywareimplantatet 2022, har angriparen konsekvent fokuserat på att strategiskt rikta in sig på kommunikationsplattformar, prioritera smyg och varaktig åtkomst. Windows-versionen av LightSpy skiljer sig från andra OS-varianter i sin arkitektur. Det distribueras genom ett installationsprogram som laddar ett bibliotek för att exekvera skalkod i minnet. Denna skalkod laddar sedan ner och avkodar orkestratorkomponenten från kommando-och-kontrollservern. Orkestratören aktiveras av en laddare som heter BH_A006, som tidigare har associerats med den misstänkta kinesiska hotgruppen 'Space Pirates', känd för att rikta in sig på ryska organisationer.

Ett annat verktyg i BrazenBamboos malwarearsenal är DEEPPOST, ett dataexfiltreringsverktyg efter exploatering som kan skicka filer till en fjärrändpunkt. Tillsammans förbättrar DEEPDATA och DEEPPOST avsevärt hotaktörens kapacitet för cyberspionage, som bygger på det tidigare arbetet med LightSpy, som nu riktar sig till macOS, iOS och Windows.

Det finns anmärkningsvärda kod- och infrastrukturlikheter mellan LightSpy och DEEPDATA, vilket indikerar att båda skadliga programfamiljerna troligen är utvecklade av samma privata företag, potentiellt kontrakterade för att skapa hackningsverktyg för statligt bruk.

Trendigt

Mest sedda

Läser in...