มัลแวร์ DEEPDATA

ผู้ก่อภัยคุกคามที่ปฏิบัติการภายใต้ชื่อ BrazenBamboo ได้ใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการแก้ไขใน Fortinet's FortiClient for Windows เพื่อขโมยข้อมูลรับรอง VPN กิจกรรมนี้เป็นส่วนหนึ่งของกรอบงานโมดูลาร์ที่ซับซ้อนที่เรียกว่า DEEPDATA

นักวิจัยที่ทำการวิเคราะห์แคมเปญนี้ค้นพบการใช้ประโยชน์จากช่องโหว่การเปิดเผยข้อมูลรับรองแบบ zero-day ในเดือนกรกฎาคม พ.ศ. 2567 พวกเขาได้ระบุว่าการพัฒนา DEEPDATA, DEEPPOST และ LightSpy นั้นเป็นผลงานของ BrazenBamboo

มัลแวร์ DEEPDATA คืออะไร

DEEPDATA เป็นเครื่องมือหลังการใช้ประโยชน์แบบแยกส่วนที่ออกแบบมาสำหรับระบบปฏิบัติการ Windows ซึ่งสามารถรวบรวมข้อมูลจำนวนมากจากอุปกรณ์ที่ถูกบุกรุกได้ โดยในตอนแรกเครื่องมือนี้ได้รับความสนใจเมื่อผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์วิเคราะห์กรอบการทำงานการเฝ้าระวังที่ใช้ Windows และเชื่อมโยงกรอบการทำงานนี้กับผู้ก่อภัยคุกคาม APT41 ที่เกี่ยวข้องกับจีน DEEPDATA ถูกใช้เพื่อดึงข้อมูลจากแพลตฟอร์มการสื่อสารต่างๆ เช่น WhatsApp, Telegram, Signal, WeChat, LINE, QQ และ Skype รวมถึง Microsoft Outlook, DingDing, Feishu, KeePass, ข้อมูลรับรองแอปพลิเคชัน, ข้อมูลเบราว์เซอร์, เครือข่าย Wi-Fi และซอฟต์แวร์ที่ติดตั้ง

หัวใจสำคัญของ DEEPDATA คือตัวโหลดไลบรารีลิงก์แบบไดนามิก (DLL) ที่เรียกว่า data.dll ซึ่งออกแบบมาเพื่อถอดรหัสและปรับใช้ปลั๊กอินที่แตกต่างกัน 12 ตัวผ่านโมดูลออร์เคสตราที่มีชื่อว่า frame.dll ปลั๊กอินเหล่านี้มี FortiClient DLL ที่เพิ่งค้นพบใหม่ ซึ่งสามารถรวบรวมข้อมูลประจำตัว VPN ได้

ปลั๊กอินนี้ใช้ประโยชน์จากช่องโหว่ zero-day ที่ไม่ได้รับการแก้ไขในไคลเอนต์ Fortinet VPN สำหรับ Windows โดยใช้ประโยชน์จากช่องโหว่นี้ ปลั๊กอินจะดึงข้อมูลรับรองผู้ใช้โดยตรงจากหน่วยความจำของกระบวนการไคลเอนต์

ภัยคุกคามอันตรายอื่น ๆ ส่วนหนึ่งของคลังอาวุธ BrazenBamboo

นับตั้งแต่สร้างสปายแวร์ฝัง LightSpy ในปี 2022 ผู้โจมตีได้มุ่งเน้นไปที่การโจมตีแพลตฟอร์มการสื่อสารอย่างมีกลยุทธ์ โดยให้ความสำคัญกับการแอบซ่อนและการเข้าถึงอย่างต่อเนื่อง LightSpy เวอร์ชัน Windows แตกต่างจากระบบปฏิบัติการอื่นๆ ในด้านสถาปัตยกรรม โดยจะติดตั้งผ่านตัวติดตั้งที่โหลดไลบรารีเพื่อเรียกใช้เชลล์โค้ดในหน่วยความจำ จากนั้นเชลล์โค้ดนี้จะดาวน์โหลดและถอดรหัสส่วนประกอบออร์เคสตราจากเซิร์ฟเวอร์คำสั่งและการควบคุม ออร์เคสตราจะถูกเปิดใช้งานโดยตัวโหลดที่เรียกว่า BH_A006 ซึ่งเคยเชื่อมโยงกับกลุ่มผู้ต้องสงสัยว่าเป็นภัยคุกคามจากจีนอย่าง 'Space Pirates' ซึ่งรู้จักกันดีในการโจมตีองค์กรของรัสเซีย

DEEPPOST คือเครื่องมืออีกตัวหนึ่งในคลังอาวุธมัลแวร์ของ BrazenBamboo ซึ่งเป็นเครื่องมือขโมยข้อมูลหลังการใช้ประโยชน์ที่สามารถส่งไฟล์ไปยังปลายทางระยะไกลได้ เมื่อใช้งานร่วมกัน DEEPDATA และ DEEPPOST จะช่วยปรับปรุงความสามารถในการสอดแนมทางไซเบอร์ของผู้ก่อภัยคุกคามได้อย่างมีนัยสำคัญ โดยอาศัยงานก่อนหน้านี้กับ LightSpy ซึ่งปัจจุบันกำหนดเป้าหมายไปที่ macOS, iOS และ Windows

LightSpy และ DEEPDATA มีโค้ดและโครงสร้างพื้นฐานที่คล้ายคลึงกันอย่างเห็นได้ชัด ซึ่งบ่งชี้ว่ามัลแวร์ทั้งสองกลุ่มนี้น่าจะได้รับการพัฒนาโดยบริษัทเอกชนเดียวกัน ซึ่งอาจได้รับการว่าจ้างให้สร้างเครื่องมือแฮ็กสำหรับใช้โดยรัฐบาล