DEEPDATA-Malware nutzt ungepatchten Fortinet-Fehler aus und legt VPN-Anmeldeinformationen für Cyber-Spionage offen

Cybersicherheitsforscher haben eine neue Bedrohung für Fortinets FortiClient VPN entdeckt und dabei die alarmierenden Fähigkeiten der Malware DEEPDATA aufgezeigt. Dieser ausgeklügelte Angriff, der der Bedrohungsgruppe BrazenBamboo zugeschrieben wird, nutzt eine Zero-Day-Sicherheitslücke aus, um vertrauliche VPN-Anmeldeinformationen zu stehlen. Unternehmen und Privatpersonen sind dadurch einem erhöhten Risiko von Spionage und Datendiebstahl ausgesetzt.

Wie DEEPDATA die Fortinet-Sicherheitslücke ausnutzt

Wie das Cybersicherheitsunternehmen Volexity bekannt gab, nutzt DEEPDATA eine bisher unbekannte Schwachstelle in FortiClient für Windows, um VPN-Anmeldeinformationen direkt aus dem Speicher abzugreifen. Dieser Fehler, der Fortinet im Juli 2024 gemeldet wurde, ist zum Zeitpunkt der Erstellung dieses Artikels noch nicht behoben. Die nicht behobene Schwachstelle ermöglicht es Angreifern, die beliebte VPN-Software von Fortinet auszunutzen, um unbefugten Zugriff auf Unternehmensnetzwerke zu erhalten, was möglicherweise weitere Infiltrationen und Datendiebstahl ermöglicht.

Das Herzstück von DEEPDATA ist ein Dynamic Link Library (DLL)-Loader namens data.dll, der 12 bösartige Plugins über ein Orchestrator-Modul namens frame.dll entschlüsselt und aktiviert. Ein Plugin, das speziell auf FortiClient abzielt, extrahiert VPN-Anmeldeinformationen und verschafft Angreifern so einen heimlichen Zugang zu kompromittierten Umgebungen.

DEEPDATA: Eine neue Ebene der Spionage

Die Funktionen von DEEPDATA sind Teil eines umfassenderen Toolkits, das von BrazenBamboo entwickelt wurde, einer Gruppe, die eng mit dem mit China verbundenen Bedrohungsakteur APT41 verbunden ist. Die Malware-Suite erweitert frühere Frameworks wie LightSpy, eine vielseitige Spyware-Plattform, die auf macOS, iOS und Windows abzielt.

Zu den Hauptfunktionen von DEEPDATA und den zugehörigen Tools gehören :

• Diebstahl von Anmeldeinformationen : Erfasst Anmeldeinformationen von beliebten Kommunikations-Apps wie WhatsApp, Telegram, Signal und KeePass.
• Datenexfiltration : Sammelt Webbrowserdetails, Anwendungskennwörter, WLAN-Hotspot-Daten und Informationen über installierte Software.
• Permanente Überwachung : Ermöglicht den verdeckten, langfristigen Zugriff auf Zielgeräte zur umfassenden Spionage.

Diese multifunktionale Schadsoftware konzentriert sich ganz gezielt auf Kommunikationsplattformen, wobei die Angreifer Tarnung und Hartnäckigkeit priorisieren, um ihre Möglichkeiten zur Informationsbeschaffung zu maximieren.

DEEPPOST und LightSpy: Ergänzende Tools für fortgeschrittene Angriffe

Das Cyberarsenal von BrazenBamboo endet nicht bei DEEPDATA. Sein DEEPPOST-Tool erleichtert die Datenexfiltration und ermöglicht es Angreifern, gestohlene Dateien auf Remote-Server zu übertragen. Unterdessen weist das seit 2022 einsatzbereite LightSpy-Framework eine fortschrittliche Modularität auf und verwendet spezielle Plugins, um:

• Nehmen Sie Webcam-Aufnahmen auf.
• Führen Sie Befehle über eine Remote-Shell aus.
• Erfassen Sie Audio-, Tastatur- und Browserdaten.
• Erfassen Sie Bildschirmbilder und inventarisieren Sie die installierte Software.

Die Architektur von LightSpy für Windows-Varianten, die über ein benutzerdefiniertes Installationsprogramm bereitgestellt werden, lässt darauf schließen, dass seine Entwicklung Teil einer systematischen und gut finanzierten Anstrengung zur Erstellung maßgeschneiderter Hacking-Tools ist.

Auswirkungen auf Cybersicherheit und Spionage

Die Überschneidungen in Code und Infrastruktur zwischen DEEPDATA und LightSpy lassen darauf schließen, dass diese Malware-Familien von privaten Unternehmen stammen könnten, die im Auftrag Tools für staatliche Akteure entwickeln. Unternehmen wie Chengdu 404 und I-Soon sind Paradebeispiele für Organisationen, die an der Entwicklung offensiver Cybertools für staatliche Zwecke beteiligt sind.

Die Entdeckung von DEEPDATA unterstreicht den wachsenden Trend zu modularen Malware-Frameworks, die für plattformübergreifende Funktionen entwickelt wurden. Dieser Ansatz ermöglicht es Bedrohungsakteuren wie BrazenBamboo, ihre Tools an verschiedene Betriebssysteme und Umgebungen anzupassen und so eine lange Betriebsdauer und Effektivität sicherzustellen.

Dringende Schritte zum Schutz

Angesichts des anhaltenden Risikos durch DEEPDATA und der ungepatchten Fortinet-Sicherheitslücke ist es für Unternehmen und Benutzer von entscheidender Bedeutung, sofort Maßnahmen zu ergreifen, um potenzielle Schäden zu minimieren:

1. Auf Patches achten : Bleiben Sie über Sicherheitspatches von Fortinet auf dem Laufenden und wenden Sie sie an, sobald sie verfügbar sind.
2. Verbessern Sie die Netzwerküberwachung : Implementieren Sie robuste Endpoint Detection and Response (EDR)-Lösungen, um ungewöhnliche Aktivitäten zu identifizieren.
3. Führen Sie Anmeldeinformationsprüfungen durch : Ändern Sie regelmäßig die VPN-Anmeldeinformationen und achten Sie auf unbefugte Zugriffsversuche.
4. Segmentnetzwerke : Beschränken Sie den Zugriff auf kritische Ressourcen, um die Auswirkungen kompromittierter Anmeldeinformationen zu minimieren.

Die DEEPDATA-Malware unterstreicht, wie groß das Risiko ungelöster Schwachstellen in weit verbreiteter Software ist. Da Bedrohungsakteure wie BrazenBamboo ihre Tools ständig verfeinern, müssen Unternehmen wachsam bleiben und mehrschichtige Abwehrmaßnahmen und proaktives Schwachstellenmanagement einsetzen, um fortgeschrittenen Cyberbedrohungen entgegenzuwirken.

Die Zeit für die Behebung der Fortinet-Sicherheitslücke läuft ab – Unternehmen und Privatpersonen müssen rasch handeln, um ihre sensiblen Daten und digitalen Werte zu schützen.