深度資料惡意軟體

一個化名 BrazenBamboo 的威脅行為者利用 Fortinet 的 FortiClient for Windows 中未修補的漏洞來取得 VPN 憑證。此活動是稱為 DEEPDATA 的複雜模組化框架的一部分。

分析該活動的研究人員在 2024 年 7 月發現了對零日憑證外洩漏洞的利用。

什麼是 DEEPDATA 惡意軟體

DEEPDATA 是一款專為 Windows 作業系統設計的模組化後利用工具，能夠從受感染的裝置收集大量資訊。當網路安全專家分析基於 Windows 的監視框架並將其與與中國相關的 APT41 威脅行為者聯繫起來時，它最初引起了人們的注意。 DEEPDATA 已用於從 WhatsApp、Telegram、Signal、微信、LINE、QQ 和 Skype 等通訊平台以及 Microsoft Outlook、釘釘、飛書、KeePass、應用程式憑證、瀏覽器資料、Wi-Fi 網路等提取資料。的軟體。

DEEPDATA 的核心是一個名為 data.dll 的動態連結程式庫 (DLL) 載入器，它旨在透過名為 frame.dll 的協調器模組解密和部署 12 個不同的插件。這些插件中有一個新識別的 FortiClient DLL，能夠取得 VPN 憑證。

該插件利用了 Windows 版 Fortinet VPN 用戶端中未修補的零日漏洞。透過利用此缺陷，它可以直接從客戶端進程的記憶體中檢索使用者憑證。

BrazenBamboo Arsenal 的其他有害威脅

自 2022 年創建 LightSpy 間諜軟體植入以來，攻擊者一直專注於策略性地瞄準通訊平台，優先考慮隱形和持續存取。 LightSpy 的 Windows 版本在架構上與其他作業系統變體不同。它透過安裝程式進行部署，該安裝程式會載入一個庫以在記憶體中執行 shellcode。然後，該 shellcode 從命令和控制伺服器下載並解碼協調器元件。該編排器由名為 BH_A006 的加載程序激活，該加載程序此前曾與疑似中國威脅組織“太空海盜”有關，該組織以針對俄羅斯組織而聞名。

BrazenBamboo 惡意軟體庫中的另一個工具是 DEEPPOST，這是一種利用後資料外洩工具，能夠將檔案傳送到遠端端點。 DEEPDATA 和 DEEPPOST 共同顯著增強了威脅行為者的網路間諜能力，建立在 LightSpy 的早期工作基礎上，LightSpy 現在針對 macOS、iOS 和 Windows。

LightSpy 和 DEEPDATA 之間存在顯著的程式碼和基礎設施相似之處，這表明這兩個惡意軟體系列很可能由同一家私人企業開發，並可能簽約創建供政府使用的駭客工具。