DEEPDATA 恶意软件

一名以别名 BrazenBamboo 为名的威胁行为者利用 Fortinet 的 FortiClient for Windows 中未修补的漏洞窃取 VPN 凭据。此活动是名为 DEEPDATA 的复杂模块化框架的一部分。

分析此活动的研究人员在 2024 年 7 月发现了零日凭证泄露漏洞的利用。他们将 DEEPDATA、DEEPPOST 和 LightSpy 的开发归功于 BrazenBamboo。

什么是 DEEPDATA 恶意软件

DEEPDATA 是一款专为 Windows 操作系统设计的模块化后开发工具，能够从受感染的设备中收集大量信息。网络安全专家在分析基于 Windows 的监控框架时，首次注意到了该工具，并将其与与中国相关的 APT41 威胁行为者联系起来。DEEPDATA 已用于从 WhatsApp、Telegram、Signal、微信、LINE、QQ 和 Skype 等通信平台以及 Microsoft Outlook、DingDing、飞书、KeePass、应用程序凭据、浏览器数据、Wi-Fi 网络和已安装的软件中提取数据。

DEEPDATA 的核心是一个名为 data.dll 的动态链接库 (DLL) 加载器，它旨在通过名为 frame.dll 的编排器模块解密和部署 12 个不同的插件。这些插件中有一个新发现的 FortiClient DLL，能够获取 VPN 凭据。

此插件利用了 Windows 版 Fortinet VPN 客户端中未修补的零日漏洞。通过利用此漏洞，它可直接从客户端进程的内存中检索用户凭据。

BrazenBamboo 武器库中的其他有害威胁

自 2022 年创建 LightSpy 间谍软件植入程序以来，攻击者一直专注于战略性地瞄准通信平台，优先考虑隐身和持续访问。Windows 版本的 LightSpy 在架构上与其他操作系统变体不同。它通过安装程序进行部署，该安装程序会加载一个库以在内存中执行 shellcode。然后，此 shellcode 从命令和控制服务器下载并解码编排器组件。编排器由名为 BH_A006 的加载程序激活，该加载程序之前与疑似中国威胁组织“太空海盗”有关，该组织以针对俄罗斯组织而闻名。

BrazenBamboo 恶意软件库中的另一个工具是 DEEPPOST，这是一种后漏洞利用数据泄露工具，能够将文件发送到远程端点。DEEPDATA 和 DEEPPOST 相结合，大大增强了威胁行为者的网络间谍能力，这是在早期 LightSpy 的基础上发展起来的，目前 LightSpy 的目标是 macOS、iOS 和 Windows。

LightSpy 和 DEEPDATA 之间的代码和基础设施有明显的相似之处，这表明这两个恶意软件家族很可能是由同一家私营企业开发的，并且可能受雇为政府开发黑客工具。