DEEPDATA Kötü Amaçlı Yazılım

BrazenBamboo takma adı altında faaliyet gösteren bir tehdit aktörü, VPN kimlik bilgilerini toplamak için Fortinet'in Windows için FortiClient'ındaki yamalanmamış bir güvenlik açığından yararlandı. Bu etkinlik, DEEPDATA olarak adlandırılan karmaşık bir modüler çerçevenin parçasıdır.

Bu kampanyayı analiz eden araştırmacılar, Temmuz 2024'te sıfır günlük kimlik bilgisi ifşa güvenlik açığının istismar edildiğini ortaya çıkardılar. DEEPDATA, DEEPPOST ve LightSpy'ın geliştirilmesini BrazenBamboo'ya bağladılar.

DEEPDATA Kötü Amaçlı Yazılımı Nedir?

DEEPDATA, Windows işletim sistemi için tasarlanmış, tehlikeye atılmış cihazlardan kapsamlı bilgi toplama yeteneğine sahip modüler bir sömürü sonrası araçtır. Siber güvenlik uzmanları Windows tabanlı gözetim çerçevesini analiz edip onu Çin ile ilişkili APT41 tehdit aktörüyle ilişkilendirdiğinde ilk olarak dikkat çekmişti. DEEPDATA, WhatsApp, Telegram, Signal, WeChat, LINE, QQ ve Skype gibi iletişim platformlarından ve Microsoft Outlook, DingDing, Feishu, KeePass, uygulama kimlik bilgileri, tarayıcı verileri, Wi-Fi ağları ve yüklü yazılımlardan veri çıkarmak için kullanılmıştır.

DEEPDATA'nın kalbinde, frame.dll adlı bir orkestratör modülü aracılığıyla 12 ayrı eklentiyi şifresini çözmek ve dağıtmak üzere tasarlanmış data.dll olarak bilinen bir dinamik bağlantı kitaplığı (DLL) yükleyicisi bulunur. Bu eklentiler arasında, VPN kimlik bilgilerini toplayabilen yeni tanımlanmış bir FortiClient DLL de bulunur.

Bu eklenti, Windows için Fortinet VPN istemcisindeki yamalanmamış bir sıfır günlük güvenlik açığından yararlanır. Bu açığı kullanarak, kullanıcı kimlik bilgilerini doğrudan istemcinin işleminin belleğinden alır.

Diğer Zararlı Tehditler BrazenBamboo Cephaneliğinin Bir Parçası

LightSpy casus yazılım implantını 2022'de oluşturduğundan beri saldırgan, gizliliği ve sürekli erişimi önceliklendirerek iletişim platformlarını stratejik olarak hedeflemeye sürekli odaklandı. LightSpy'ın Windows sürümü, mimarisi bakımından diğer işletim sistemi varyantlarından farklıdır. Bellekte kabuk kodunu yürütmek için bir kitaplık yükleyen bir yükleyici aracılığıyla dağıtılır. Bu kabuk kodu daha sonra orkestratör bileşenini komut ve kontrol sunucusundan indirir ve kodunu çözer. Orkestratör, daha önce Rus örgütlerini hedef almasıyla bilinen şüpheli Çinli tehdit grubu 'Uzay Korsanları' ile ilişkilendirilen BH_A006 adlı bir yükleyici tarafından etkinleştirilir.

BrazenBamboo'nun kötü amaçlı yazılım cephaneliğindeki bir diğer araç, dosyaları uzak bir uç noktaya gönderebilen bir istismar sonrası veri sızdırma aracı olan DEEPPOST'tur. DEEPDATA ve DEEPPOST birlikte, artık macOS, iOS ve Windows'u hedefleyen LightSpy ile yapılan önceki çalışmalara dayanarak tehdit aktörünün siber casusluk yeteneklerini önemli ölçüde artırır.

LightSpy ile DEEPDATA arasında dikkate değer kod ve altyapı benzerlikleri bulunuyor. Bu da her iki kötü amaçlı yazılım ailesinin de büyük ihtimalle aynı özel şirket tarafından geliştirildiğini ve hükümet kullanımına yönelik bilgisayar korsanlığı araçları geliştirmek üzere sözleşme imzalandığını gösteriyor.