DEEPDATA-malware maakt gebruik van een ongepatchte Fortinet-fout om VPN-referenties te stelen

Een bedreigingsacteur bekend als BrazenBamboe heeft misbruik gemaakt van een onopgelost beveiligingslek in Fortinet’s FortiClient voor Windows om VPN-referenties te extraheren als onderdeel van een modulair raamwerk genaamd DIEPE DATA.

Volexity, dat de bevindingen vrijdag bekendmaakte, zei dat het de zero-day-exploitatie van de kwetsbaarheid voor het vrijgeven van inloggegevens in juli 2024 had geïdentificeerd, waarbij BrazenBamboo werd beschreven als de ontwikkelaar achter DEEPDATA, DEEPPOST en LightSpy.

“DEEPDATA is een modulaire post-exploitatietool voor het Windows-besturingssysteem die wordt gebruikt om een ​​breed scala aan informatie van doelapparaten te verzamelen”, zeiden beveiligingsonderzoekers Callum Roxan, Charlie Gardner en Paul Rascagneres vrijdag.

De malware kwam eerder deze week voor het eerst aan het licht, toen BlackBerry het op Windows gebaseerde surveillance-framework uiteenzette, zoals gebruikt door de aan China gelinkte APT41-dreigingsactor om gegevens te verzamelen van WhatsApp, Telegram, Signal, WeChat, LINE, QQ, Skype, Microsoft Outlook, DingDing, Feishu, KeePass, evenals applicatiewachtwoorden, webbrowserinformatie, Wi-Fi-hotspots en geïnstalleerde software.

“Sinds hun eerste ontwikkeling van het LightSpy-spyware-implantaat in 2022 heeft de aanvaller voortdurend en methodisch gewerkt aan het strategisch richten van communicatieplatforms, met de nadruk op stealth en aanhoudende toegang”, aldus het BlackBerry-dreigingsonderzoeksteam.

De kerncomponent van DEEPDATA is een DLL-lader (Dynamic Link Library) genaamd “data.dll” die is ontworpen om 12 verschillende plug-ins te decoderen en te starten met behulp van een orkestratormodule (“frame.dll”). Onder de plug-ins bevindt zich een voorheen ongedocumenteerde “FortiClient” DLL die VPN-referenties kan vastleggen.

“Deze plug-in bleek misbruik te maken van een zero-day-kwetsbaarheid in de Fortinet VPN-client op Windows, waardoor deze de inloggegevens van de gebruiker uit het geheugen van het clientproces kan halen”, aldus de onderzoekers.

Volexity zei dat het de fout op 18 juli 2024 aan Fortinet had gemeld, maar merkte op dat de kwetsbaarheid nog steeds niet is verholpen. The Hacker News heeft contact opgenomen met het bedrijf voor commentaar en we zullen het verhaal bijwerken als we iets horen.

Een ander hulpmiddel dat deel uitmaakt van het malwareportfolio van BrazenBamboo is DEEPPOST, een hulpmiddel voor gegevensexfiltratie na misbruik dat in staat is bestanden naar een extern eindpunt te exfiltreren.

DEEPDATA en DEEPPOST dragen bij aan de toch al krachtige cyberspionagemogelijkheden van de bedreigingsacteur, en breiden uit op LightSpy, dat in verschillende smaken verkrijgbaar is voor macOS, iOS en nu Windows.

“De architectuur voor de Windows-variant van LightSpy is anders dan die van andere gedocumenteerde OS-varianten”, aldus Volexity. “Deze variant wordt geïmplementeerd door een installatieprogramma dat een bibliotheek inzet om shellcode in het geheugen uit te voeren. De shellcode downloadt en decodeert de Orchestrator-component van de (command-and-control) server.”

De orkestrator wordt uitgevoerd door middel van een lader genaamd BH_A006, die eerder al in gebruik is genomen door een vermoedelijke Chinese dreigingsgroep genaamd Space Pirates, die een geschiedenis heeft van het aanvallen van Russische entiteiten.

Dat gezegd hebbende, is het momenteel niet duidelijk of deze overlap te wijten is aan de vraag of BH_A006 een commercieel verkrijgbare malware is of een bewijs is van een digitale kwartiermeester die verantwoordelijk is voor het toezicht op een gecentraliseerde verzameling tools en technieken onder Chinese bedreigingsactoren.

Zodra de LightSpy-orkestrator is gelanceerd, gebruikt hij WebSocket en HTTPS voor communicatie voor respectievelijk data-exfiltratie, en maakt gebruik van maar liefst acht plug-ins om webcam op te nemen, een externe shell te starten om opdrachten uit te voeren en audio, browsergegevens, bestanden, toetsaanslagen, schermgegevens te verzamelen. opnames en een lijst met geïnstalleerde software.

LightSpy en DEEPDATA delen verschillende overlappingen op code- en infrastructuurniveau, wat erop wijst dat de twee malwarefamilies waarschijnlijk het werk zijn van een particuliere onderneming die de taak heeft gekregen om hacktools te ontwikkelen voor overheidsinstanties, zoals blijkt uit bedrijven als Chengdu 404 en I-Soon. .

“BrazenBamboo is een bedreigingsacteur met voldoende middelen die multi-platformcapaciteiten onderhoudt met een operationele lange levensduur”, concludeerde Volexity. “De breedte en volwassenheid van hun capaciteiten duiden op zowel een capabele ontwikkelingsfunctie als operationele vereisten die de ontwikkelingsoutput stimuleren.”

Thijs Van der Does