DEEPDATA Malware udnytter upatchet Fortinet-fejl og udsætter VPN-legitimationsoplysninger for cyberspionage

Cybersikkerhedsforskere har afsløret en væsentlig ny trussel rettet mod Fortinets FortiClient VPN, der fremhæver de alarmerende egenskaber ved malware kendt som DEEPDATA. Dette sofistikerede angreb, der tilskrives BrazenBamboo-trusselsgruppen, udnytter en nul-dages sårbarhed til at stjæle følsomme VPN-legitimationsoplysninger, hvilket efterlader virksomheder og enkeltpersoner med øget risiko for spionage og datatyveri.

Hvordan DEEPDATA udnytter Fortinet-sårbarheden

DEEPDATA, der er afsløret af cybersikkerhedsfirmaet Volexity, udnytter en hidtil ukendt sårbarhed i FortiClient til Windows til at hente VPN-legitimationsoplysninger direkte fra hukommelsen. Denne fejl, der blev rapporteret til Fortinet i juli 2024, forbliver uoprettet, da dette skrives. Den uadresserede sårbarhed giver angribere mulighed for at udnytte Fortinets populære VPN-software til at få uautoriseret adgang til virksomhedens netværk, hvilket potentielt muliggør yderligere infiltration og datatyveri.

I hjertet af DEEPDATA er en dynamic-link library (DLL) loader, data.dll, som dekrypterer og aktiverer 12 ondsindede plugins gennem et orkestratormodul kaldet frame.dll. Et plugin, der specifikt er rettet mod FortiClient, udtrækker VPN-legitimationsoplysninger, hvilket giver angribere et snigende fodfæste i kompromitterede miljøer.

DEEPDATA: Et nyt niveau af spionage

DEEPDATAs muligheder er en del af et bredere værktøjssæt udviklet af BrazenBamboo, en gruppe tæt knyttet til den Kina-associerede APT41-trusselsaktør. Malwarepakken udvider på tidligere rammer som LightSpy, en alsidig spywareplatform rettet mod macOS, iOS og Windows.

Nøglefunktioner i DEEPDATA og dets relaterede værktøjer inkluderer :

  • Credential Theft : Indfanger legitimationsoplysninger fra populære kommunikationsapps såsom WhatsApp, Telegram, Signal og KeePass.
  • Dataeksfiltrering : Indsamler webbrowserdetaljer, applikationsadgangskoder, Wi-Fi-hotspotdata og oplysninger om installeret software.
  • Vedvarende overvågning : Opretholder snigende, langsigtet adgang til målenheder til omfattende spionage.

Denne multifunktionelle malware fremhæver et omhyggeligt fokus på kommunikationsplatforme, hvor angribere prioriterer stealth og vedholdenhed for at maksimere mulighederne for efterretningsindsamling.

DEEPPOST og LightSpy: Komplementære værktøjer til avancerede angreb

BrazenBamboos cyberarsenal stopper ikke ved DEEPDATA. Dens DEEPPOST-værktøj letter dataeksfiltrering, hvilket gør det muligt for angribere at overføre stjålne filer til fjernservere. I mellemtiden demonstrerer LightSpy-rammeværket, der har været i drift siden 2022, avanceret modularitet ved at anvende specialiserede plugins til:

  • Optag webcam-optagelser.
  • Udfør kommandoer via en ekstern shell.
  • Indsaml lyd, tastetryk og browserdata.
  • Tag skærmbilleder og inventar installeret software.

LightSpys arkitektur til Windows-varianter, implementeret via et brugerdefineret installationsprogram, antyder, at dets udvikling er en del af en systematisk og velfinansieret indsats for at skabe skræddersyede hackingværktøjer.

Implikationer for cybersikkerhed og spionage

Overlapningen i kode og infrastruktur mellem DEEPDATA og LightSpy antyder, at disse malware-familier kan stamme fra private virksomheder, der har indgået kontrakt om at udvikle værktøjer til nationalstatsaktører. Virksomheder som Chengdu 404 og I-Soon er fremragende eksempler på organisationer, der er involveret i at skabe offensive cyberværktøjer til offentlig brug.

Opdagelsen af DEEPDATA fremhæver den voksende tendens med modulære malware-rammer designet til multi-platform-kapaciteter. Denne tilgang gør det muligt for trusselsaktører som BrazenBamboo at tilpasse deres værktøjer til forskellige operativsystemer og miljøer, hvilket sikrer driftsmæssig levetid og effektivitet.

Haster til beskyttelse

I betragtning af den vedvarende risiko, som DEEPDATA og den upatchede Fortinet-sårbarhed udgør, er det afgørende for organisationer og brugere at tage øjeblikkelige skridt for at afbøde potentielle skader:

  1. Overvåg for patches : Hold dig opdateret om sikkerhedsrettelser fra Fortinet og anvend dem, så snart de bliver tilgængelige.
  2. Forbedre netværksovervågning : Implementer robuste endpoint detection and response (EDR) løsninger for at identificere usædvanlig aktivitet.
  3. Udfør legitimationsaudits : Skift regelmæssigt VPN-legitimationsoplysninger og overvåg for uautoriseret adgangsforsøg.
  4. Segmenter netværk : Begræns adgangen til kritiske ressourcer for at minimere virkningen af kompromitterede legitimationsoplysninger.

DEEPDATA-malwaren understreger den høje indsats af uløste sårbarheder i udbredt software. Mens trusselsaktører som BrazenBamboo fortsætter med at forfine deres værktøjer, skal organisationer forblive på vagt, anvende lagdelte forsvar og proaktiv sårbarhedsstyring for at imødegå avancerede cybertrusler.

Uret tikker for at løse Fortinet-fejlen - virksomheder og enkeltpersoner skal handle hurtigt for at beskytte deres følsomme data og digitale aktiver.

I Zane
November 20, 2024
Malware
Dansk
November 20, 2024
Malware

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

12 days siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.