DEEPDATA Шкідливе програмне забезпечення

Зловмисник, який працює під псевдонімом BrazenBamboo, використав невиправлену вразливість FortiClient для Windows Fortinet для збору облікових даних VPN. Ця діяльність є частиною складної модульної структури, яка називається DEEPDATA.

Дослідники, які аналізували цю кампанію, виявили використання вразливості розкриття облікових даних нульового дня в липні 2024 року. Вони приписали розробку DEEPDATA, DEEPPOST і LightSpy BrazenBamboo.

Що таке шкідливе програмне забезпечення DEEPDATA

DEEPDATA — це модульний інструмент після експлуатації, розроблений для операційної системи Windows, здатний збирати велику кількість інформації зі зламаних пристроїв. Спочатку на це звернули увагу, коли фахівці з кібербезпеки проаналізували структуру стеження на базі Windows, пов’язавши її з асоційованим із Китаєм загрозливим суб’єктом APT41. DEEPDATA використовувався для отримання даних із комунікаційних платформ, таких як WhatsApp, Telegram, Signal, WeChat, LINE, QQ і Skype, а також Microsoft Outlook, DingDing, Feishu, KeePass, облікових даних програми, даних браузера, мереж Wi-Fi та встановлене програмне забезпечення.

Серцем DEEPDATA є завантажувач бібліотеки динамічного компонування (DLL), відомий як data.dll, який призначений для розшифровки та розгортання 12 окремих плагінів за допомогою модуля оркестратора під назвою frame.dll. Серед цих плагінів нещодавно ідентифікована FortiClient DLL, здатна збирати облікові дані VPN.

Цей плагін використовує невиправлену вразливість нульового дня в клієнті Fortinet VPN для Windows. Використовуючи цей недолік, він отримує облікові дані користувача безпосередньо з пам’яті процесу клієнта.

Інші шкідливі загрози. Частина арсеналу BrazenBamboo

З моменту створення імплантата шпигунського програмного забезпечення LightSpy у 2022 році зловмисник постійно зосереджувався на стратегічному націлюванні на комунікаційні платформи, віддаючи пріоритет стелсу та постійному доступу. Версія LightSpy для Windows відрізняється від інших варіантів ОС своєю архітектурою. Він розгортається через інсталятор, який завантажує бібліотеку для виконання шелл-коду в пам’яті. Потім цей шелл-код завантажує та декодує компонент оркестратора з командно-контрольного сервера. Оркестратор активується завантажувачем під назвою BH_A006, який раніше був пов’язаний з підозрюваною китайською групою загроз «Космічні пірати», відомою тим, що нападає на російські організації.

Іншим інструментом в арсеналі зловмисного програмного забезпечення BrazenBamboo є DEEPPOST, інструмент для вилучення даних після експлуатації, здатний надсилати файли на віддалену кінцеву точку. Разом DEEPDATA та DEEPPOST значно розширюють можливості зловмисника щодо кібершпигунства, ґрунтуючись на попередній роботі з LightSpy, яка тепер спрямована на macOS, iOS та Windows.

Існують значні подібності коду та інфраструктури між LightSpy і DEEPDATA, що вказує на те, що обидві сімейства зловмисного програмного забезпечення, ймовірно, розроблено одним і тим же приватним підприємством, потенційно залученим для створення інструментів злому для використання урядом.