Phần mềm độc hại DEEPDATA
Một tác nhân đe dọa hoạt động dưới bí danh BrazenBamboo đã lợi dụng lỗ hổng chưa được vá trong FortiClient for Windows của Fortinet để thu thập thông tin đăng nhập VPN. Hoạt động này là một phần của khuôn khổ mô-đun tinh vi được gọi là DEEPDATA.
Các nhà nghiên cứu phân tích chiến dịch này đã phát hiện ra việc khai thác lỗ hổng tiết lộ thông tin xác thực ngày thứ 0 vào tháng 7 năm 2024. Họ đã quy kết công lao phát triển DEEPDATA, DEEPPOST và LightSpy cho BrazenBamboo.
Phần mềm độc hại DEEPDATA là gì
DEEPDATA là một công cụ khai thác sau mô-đun được thiết kế cho hệ điều hành Windows, có khả năng thu thập thông tin mở rộng từ các thiết bị bị xâm phạm. Công cụ này ban đầu được chú ý khi các chuyên gia an ninh mạng phân tích khuôn khổ giám sát dựa trên Windows, liên kết nó với tác nhân đe dọa APT41 có liên quan đến Trung Quốc. DEEPDATA đã được sử dụng để trích xuất dữ liệu từ các nền tảng truyền thông như WhatsApp, Telegram, Signal, WeChat, LINE, QQ và Skype, cũng như Microsoft Outlook, DingDing, Feishu, KeePass, thông tin đăng nhập ứng dụng, dữ liệu trình duyệt, mạng Wi-Fi và phần mềm đã cài đặt.
Trọng tâm của DEEPDATA là một trình tải thư viện liên kết động (DLL) được gọi là data.dll, được thiết kế để giải mã và triển khai 12 plugin riêng biệt thông qua một mô-đun orchestrator có tên là frame.dll. Trong số các plugin này có một FortiClient DLL mới được xác định, có khả năng thu thập thông tin xác thực VPN.
Plugin này tận dụng lỗ hổng zero-day chưa được vá trong máy khách Fortinet VPN dành cho Windows. Bằng cách khai thác lỗ hổng này, nó sẽ lấy thông tin đăng nhập của người dùng trực tiếp từ bộ nhớ của quy trình máy khách.
Các mối đe dọa có hại khác là một phần của BrazenBamboo Arsenal
Kể từ khi tạo ra phần mềm gián điệp LightSpy vào năm 2022, kẻ tấn công luôn tập trung vào việc nhắm mục tiêu chiến lược vào các nền tảng truyền thông, ưu tiên ẩn danh và truy cập liên tục. Phiên bản Windows của LightSpy khác với các biến thể hệ điều hành khác về mặt kiến trúc. Nó được triển khai thông qua trình cài đặt tải thư viện để thực thi shellcode trong bộ nhớ. Sau đó, shellcode này tải xuống và giải mã thành phần orchestrator từ máy chủ chỉ huy và điều khiển. Orchestrator được kích hoạt bởi trình tải có tên BH_A006, trước đây đã được liên kết với nhóm đe dọa Trung Quốc bị nghi ngờ là 'Space Pirates', được biết đến với mục tiêu là các tổ chức của Nga.
Một công cụ khác trong kho vũ khí phần mềm độc hại của BrazenBamboo là DEEPPOST, một công cụ trích xuất dữ liệu sau khi khai thác có khả năng gửi tệp đến điểm cuối từ xa. Cùng nhau, DEEPDATA và DEEPPOST tăng cường đáng kể khả năng gián điệp mạng của tác nhân đe dọa, dựa trên công việc trước đó với LightSpy, hiện nhắm mục tiêu vào macOS, iOS và Windows.
Có những điểm tương đồng đáng chú ý về mã và cơ sở hạ tầng giữa LightSpy và DEEPDATA, cho thấy cả hai nhóm phần mềm độc hại này có khả năng đều do cùng một doanh nghiệp tư nhân phát triển, có khả năng được ký hợp đồng để tạo ra các công cụ hack phục vụ mục đích sử dụng của chính phủ.
