DEEPDATA మాల్వేర్

BrazenBamboo అనే మారుపేరుతో పనిచేసే ఒక బెదిరింపు నటుడు VPN ఆధారాలను సేకరించేందుకు Windows కోసం Fortinet యొక్క FortiClientలో అన్‌ప్యాచ్ చేయని దుర్బలత్వాన్ని ఉపయోగించాడు. ఈ కార్యకలాపం DEEPDATAగా సూచించబడే అధునాతన మాడ్యులర్ ఫ్రేమ్‌వర్క్‌లో భాగం.

ఈ ప్రచారాన్ని విశ్లేషిస్తున్న పరిశోధకులు జూలై 2024లో జీరో-డే క్రెడెన్షియల్ బహిర్గతం దుర్బలత్వం యొక్క దోపిడీని వెలికితీశారు. వారు DEEPDATA, DEEPPOST మరియు LightSpy అభివృద్ధిని BrazenBambooకి ఆపాదించారు.

DEEPDATA మాల్వేర్ అంటే ఏమిటి

DEEPDATA అనేది Windows ఆపరేటింగ్ సిస్టమ్ కోసం రూపొందించబడిన మాడ్యులర్ పోస్ట్-ఎక్స్‌ప్లోయిటేషన్ సాధనం, ఇది రాజీపడిన పరికరాల నుండి విస్తృతమైన సమాచారాన్ని సేకరించగలదు. సైబర్‌ సెక్యూరిటీ నిపుణులు విండోస్ ఆధారిత నిఘా ఫ్రేమ్‌వర్క్‌ను విశ్లేషించి, చైనా-అనుబంధిత APT41 ముప్పు నటుడికి లింక్ చేయడంతో ఇది మొదట దృష్టికి తీసుకురాబడింది. WhatsApp, Telegram, Signal, WeChat, LINE, QQ మరియు Skype వంటి కమ్యూనికేషన్ ప్లాట్‌ఫారమ్‌ల నుండి డేటాను సేకరించేందుకు DEEPDATA ఉపయోగించబడింది, అలాగే Microsoft Outlook, DingDing, Feishu, KeePass, అప్లికేషన్ ఆధారాలు, బ్రౌజర్ డేటా, Wi-Fi నెట్‌వర్క్‌లు మరియు ఇన్‌స్టాల్ చేసిన సాఫ్ట్‌వేర్.

DEEPDATA యొక్క గుండె వద్ద data.dll అని పిలువబడే డైనమిక్-లింక్ లైబ్రరీ (DLL) లోడర్ ఉంది, ఇది frame.dll అనే ఆర్కెస్ట్రేటర్ మాడ్యూల్ ద్వారా 12 విభిన్న ప్లగిన్‌లను డీక్రిప్ట్ చేయడానికి మరియు అమలు చేయడానికి రూపొందించబడింది. ఈ ప్లగిన్‌లలో కొత్తగా గుర్తించబడిన FortiClient DLL ఉంది, ఇది VPN ఆధారాలను సేకరించగలదు.

ఈ ప్లగ్ఇన్ Windows కోసం Fortinet VPN క్లయింట్‌లో అన్‌ప్యాచ్ చేయని జీరో-డే దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది. ఈ లోపాన్ని ఉపయోగించడం ద్వారా, ఇది క్లయింట్ యొక్క ప్రక్రియ యొక్క మెమరీ నుండి నేరుగా వినియోగదారు ఆధారాలను తిరిగి పొందుతుంది.

ఇతర హానికరమైన బెదిరింపులు BrazenBamboo ఆర్సెనల్ యొక్క భాగం

2022లో లైట్‌స్పై స్పైవేర్ ఇంప్లాంట్‌ను సృష్టించినప్పటి నుండి, దాడి చేసే వ్యక్తి కమ్యూనికేషన్ ప్లాట్‌ఫారమ్‌లను వ్యూహాత్మకంగా లక్ష్యంగా చేసుకోవడం, స్టెల్త్ మరియు స్థిరమైన యాక్సెస్‌కు ప్రాధాన్యత ఇవ్వడంపై స్థిరంగా దృష్టి సారించాడు. లైట్‌స్పై యొక్క విండోస్ వెర్షన్ దాని ఆర్కిటెక్చర్‌లో ఇతర OS వేరియంట్‌ల నుండి భిన్నంగా ఉంటుంది. మెమరీలో షెల్‌కోడ్‌ని అమలు చేయడానికి లైబ్రరీని లోడ్ చేసే ఇన్‌స్టాలర్ ద్వారా ఇది అమలు చేయబడుతుంది. ఈ షెల్‌కోడ్ కమాండ్-అండ్-కంట్రోల్ సర్వర్ నుండి ఆర్కెస్ట్రేటర్ కాంపోనెంట్‌ను డౌన్‌లోడ్ చేస్తుంది మరియు డీకోడ్ చేస్తుంది. ఆర్కెస్ట్రేటర్ BH_A006 అనే లోడర్ ద్వారా యాక్టివేట్ చేయబడింది, ఇది గతంలో రష్యన్ సంస్థలను లక్ష్యంగా చేసుకునేందుకు పేరుగాంచిన అనుమానిత చైనీస్ థ్రెట్ గ్రూప్ 'స్పేస్ పైరేట్స్'తో అనుబంధించబడింది.

BrazenBamboo యొక్క మాల్వేర్ ఆర్సెనల్‌లోని మరొక సాధనం DEEPPOST, ఇది రిమోట్ ఎండ్‌పాయింట్‌కి ఫైల్‌లను పంపగల సామర్థ్యం ఉన్న పోస్ట్-ఎక్స్‌ప్లోయిటేషన్ డేటా ఎక్స్‌ఫిల్ట్రేషన్ టూల్. కలిసి, DEEPDATA మరియు DEEPPOST లు ముప్పు నటుడి సైబర్ గూఢచర్య సామర్థ్యాలను గణనీయంగా మెరుగుపరుస్తాయి, లైట్‌స్పైతో మునుపటి పనిని రూపొందించాయి, ఇది ఇప్పుడు macOS, iOS మరియు Windowsని లక్ష్యంగా చేసుకుంది.

LightSpy మరియు DEEPDATA మధ్య గుర్తించదగిన కోడ్ మరియు మౌలిక సదుపాయాల సారూప్యతలు ఉన్నాయి, రెండు మాల్వేర్ కుటుంబాలు ఒకే ప్రైవేట్ సంస్థ ద్వారా అభివృద్ధి చేయబడతాయని సూచిస్తున్నాయి, ప్రభుత్వ ఉపయోగం కోసం హ్యాకింగ్ సాధనాలను రూపొందించడానికి సంభావ్యంగా ఒప్పందం చేసుకున్నాయి.