DEEPDATA Malware

Ang isang banta na aktor na tumatakbo sa ilalim ng alyas na BrazenBamboo ay gumamit ng isang hindi na-patch na kahinaan sa FortiClient ng Fortinet para sa Windows upang ma-harvest ang mga kredensyal ng VPN. Ang aktibidad na ito ay bahagi ng isang sopistikadong modular framework na tinutukoy bilang DEEPDATA.

Natuklasan ng mga mananaliksik na nagsusuri sa campaign na ito ang pagsasamantala sa zero-day na kahinaan sa pagbubunyag ng kredensyal noong Hulyo 2024. Iniuugnay nila ang pagbuo ng DEEPDATA, DEEPPOST, at LightSpy sa BrazenBamboo.

Ano ang DEEPDATA Malware

Ang DEEPDATA ay isang modular post-exploitation tool na idinisenyo para sa Windows operating system, na may kakayahang mangolekta ng malawak na impormasyon mula sa mga nakompromisong device. Una itong binigyang-pansin noong sinuri ng mga cybersecurity specialist ang Windows-based surveillance framework, na nag-uugnay nito sa APT41 threat actor na nauugnay sa China. Ginamit ang DEEPDATA upang kunin ang data mula sa mga platform ng komunikasyon tulad ng WhatsApp, Telegram, Signal, WeChat, LINE, QQ, at Skype, pati na rin ang Microsoft Outlook, DingDing, Feishu, KeePass, mga kredensyal ng application, data ng browser, mga Wi-Fi network, at naka-install na software.

Sa gitna ng DEEPDATA ay isang dynamic-link library (DLL) loader na kilala bilang data.dll, na idinisenyo upang i-decrypt at i-deploy ang 12 natatanging plugin sa pamamagitan ng orchestrator module na pinangalanang frame.dll. Kabilang sa mga plugin na ito ay isang bagong nakilalang FortiClient DLL, na may kakayahang mag-ani ng mga kredensyal ng VPN.

Sinasamantala ng plugin na ito ang isang hindi na-patch na zero-day na kahinaan sa Fortinet VPN client para sa Windows. Sa pamamagitan ng pagsasamantala sa kapintasan na ito, kinukuha nito ang mga kredensyal ng user nang direkta mula sa memorya ng proseso ng kliyente.

Iba Pang Mapanganib na Banta Bahagi ng BrazenBamboo Arsenal

Mula nang gawin ang LightSpy spyware implant noong 2022, ang umaatake ay patuloy na nakatuon sa madiskarteng pag-target sa mga platform ng komunikasyon, na inuuna ang stealth at patuloy na pag-access. Ang bersyon ng Windows ng LightSpy ay naiiba sa iba pang mga variant ng OS sa arkitektura nito. Na-deploy ito sa pamamagitan ng isang installer na naglo-load ng library upang maisagawa ang shellcode sa memorya. Ang shellcode na ito ay nagda-download at nagde-decode ng bahagi ng orkestra mula sa command-and-control server. Ang orkestra ay isinaaktibo ng isang loader na tinatawag na BH_A006, na dating nauugnay sa pinaghihinalaang grupo ng pagbabanta ng China na 'Space Pirates,' na kilala sa pag-target sa mga organisasyong Ruso.

Ang isa pang tool sa malware arsenal ng BrazenBamboo ay DEEPPOST, isang post-exploitation data exfiltration tool na may kakayahang magpadala ng mga file sa isang malayong endpoint. Magkasama, makabuluhang pinahusay ng DEEPDATA at DEEPPOST ang mga kakayahan ng cyber espionage ng threat actor, batay sa naunang trabaho kasama ang LightSpy, na ngayon ay nagta-target ng macOS, iOS, at Windows.

May mga kapansin-pansing pagkakatulad ng code at imprastraktura sa pagitan ng LightSpy at DEEPDATA, na nagpapahiwatig na ang parehong mga pamilya ng malware ay malamang na binuo ng parehong pribadong negosyo, na posibleng kinontrata upang lumikha ng mga tool sa pag-hack para sa paggamit ng pamahalaan.