Το κακόβουλο λογισμικό DEEPDATA αξιοποιεί μη επιδιορθωμένο ελάττωμα Fortinet που εκθέτει τα διαπιστευτήρια VPN σε κατασκοπεία στον κυβερνοχώρο
Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια σημαντική νέα απειλή που στοχεύει το FortiClient VPN της Fortinet, υπογραμμίζοντας τις ανησυχητικές δυνατότητες του κακόβουλου λογισμικού που είναι γνωστό ως DEEPDATA. Αυτή η εξελιγμένη επίθεση, που αποδίδεται στην ομάδα απειλών BrazenBamboo, εκμεταλλεύεται μια ευπάθεια zero-day για να κλέψει ευαίσθητα διαπιστευτήρια VPN, αφήνοντας επιχειρήσεις και άτομα σε αυξημένο κίνδυνο κατασκοπείας και κλοπής δεδομένων.
Table of Contents
Πώς το DEEPDATA εκμεταλλεύεται την ευπάθεια του Fortinet
Αποκαλύφθηκε από την εταιρεία κυβερνοασφάλειας Volexity, το DEEPDATA αξιοποιεί μια προηγουμένως άγνωστη ευπάθεια στο FortiClient για Windows για τη συλλογή διαπιστευτηρίων VPN απευθείας από τη μνήμη. Αυτό το ελάττωμα, το οποίο αναφέρθηκε στο Fortinet τον Ιούλιο του 2024, παραμένει αδιόρθωτο μέχρι τη στιγμή που γράφεται αυτό το άρθρο. Η αδιευκρίνιστη ευπάθεια επιτρέπει στους εισβολείς να εκμεταλλευτούν το δημοφιλές λογισμικό VPN της Fortinet για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε εταιρικά δίκτυα, επιτρέποντας ενδεχομένως περαιτέρω διείσδυση και κλοπή δεδομένων.
Στην καρδιά του DEEPDATA βρίσκεται ένας φορτωτής βιβλιοθήκης δυναμικής σύνδεσης (DLL), ο data.dll, ο οποίος αποκρυπτογραφεί και ενεργοποιεί 12 κακόβουλες προσθήκες μέσω μιας λειτουργικής μονάδας ενορχηστρωτή που ονομάζεται frame.dll. Ένα πρόσθετο, που στοχεύει ειδικά το FortiClient, εξάγει διαπιστευτήρια VPN, παρέχοντας στους εισβολείς μια μυστική βάση σε περιβάλλοντα που έχουν παραβιαστεί.
DEEPDATA: Ένα νέο επίπεδο κατασκοπείας
Οι δυνατότητες του DEEPDATA αποτελούν μέρος μιας ευρύτερης εργαλειοθήκης που σχεδιάστηκε από την BrazenBamboo, μια ομάδα στενά συνδεδεμένη με τον παράγοντα απειλών APT41 που σχετίζεται με την Κίνα. Η σουίτα κακόβουλου λογισμικού επεκτείνεται σε προηγούμενα πλαίσια όπως το LightSpy, μια ευέλικτη πλατφόρμα λογισμικού κατασκοπείας που στοχεύει macOS, iOS και Windows.
Τα βασικά χαρακτηριστικά του DEEPDATA και των σχετικών εργαλείων του περιλαμβάνουν :
- Κλοπή διαπιστευτηρίων : Καταγράφει διαπιστευτήρια από δημοφιλείς εφαρμογές επικοινωνίας όπως το WhatsApp, το Telegram, το Signal και το KeePass.
- Εξαγωγή δεδομένων : Συγκεντρώνει λεπτομέρειες του προγράμματος περιήγησης ιστού, κωδικούς πρόσβασης εφαρμογών, δεδομένα σημείου πρόσβασης Wi-Fi και πληροφορίες σχετικά με το εγκατεστημένο λογισμικό.
- Επίμονη επιτήρηση : Διατηρεί μυστική, μακροπρόθεσμη πρόσβαση σε συσκευές-στόχους για ολοκληρωμένη κατασκοπεία.
Αυτό το πολυλειτουργικό κακόβουλο λογισμικό υπογραμμίζει τη σχολαστική εστίαση στις πλατφόρμες επικοινωνίας, με τους εισβολείς να δίνουν προτεραιότητα στη μυστικότητα και την επιμονή για να μεγιστοποιήσουν τις ευκαιρίες συλλογής πληροφοριών.
DEEPPOST και LightSpy: Συμπληρωματικά εργαλεία για προηγμένες επιθέσεις
Το οπλοστάσιο του BrazenBamboo στον κυβερνοχώρο δεν σταματά στο DEEPDATA. Το εργαλείο DEEPPOST διευκολύνει την εξαγωγή δεδομένων, επιτρέποντας στους εισβολείς να μεταφέρουν κλεμμένα αρχεία σε απομακρυσμένους διακομιστές. Εν τω μεταξύ, το πλαίσιο LightSpy, το οποίο λειτουργεί από το 2022, επιδεικνύει προηγμένη σπονδυλωτή, χρησιμοποιώντας εξειδικευμένα πρόσθετα για:
- Καταγράψτε πλάνα από κάμερα web.
- Εκτελέστε εντολές μέσω απομακρυσμένου κελύφους.
- Συλλέξτε δεδομένα ήχου, πληκτρολογήσεων και προγράμματος περιήγησης.
- Λήψη εικόνων οθόνης και εγκατεστημένο λογισμικό απογραφής.
Η αρχιτεκτονική του LightSpy για παραλλαγές των Windows, που αναπτύσσεται μέσω ενός προσαρμοσμένου προγράμματος εγκατάστασης, υποδηλώνει ότι η ανάπτυξή του αποτελεί μέρος μιας συστηματικής και καλά χρηματοδοτούμενης προσπάθειας για τη δημιουργία εξατομικευμένων εργαλείων hacking.
Επιπτώσεις για την κυβερνοασφάλεια και την κατασκοπεία
Η επικάλυψη στον κώδικα και την υποδομή μεταξύ του DEEPDATA και του LightSpy υποδηλώνει ότι αυτές οι οικογένειες κακόβουλου λογισμικού μπορεί να προέρχονται από ιδιωτικές επιχειρήσεις που έχουν συνάψει σύμβαση για την ανάπτυξη εργαλείων για φορείς εθνικών κρατών. Εταιρείες όπως η Chengdu 404 και η I-Soon είναι χαρακτηριστικά παραδείγματα οργανισμών που εμπλέκονται στη δημιουργία επιθετικών εργαλείων στον κυβερνοχώρο για κρατική χρήση.
Η ανακάλυψη του DEEPDATA υπογραμμίζει την αυξανόμενη τάση των αρθρωτών πλαισίων κακόβουλου λογισμικού που έχουν σχεδιαστεί για δυνατότητες πολλαπλών πλατφορμών. Αυτή η προσέγγιση δίνει τη δυνατότητα σε φορείς απειλών όπως το BrazenBamboo να προσαρμόσουν τα εργαλεία τους για διάφορα λειτουργικά συστήματα και περιβάλλοντα, διασφαλίζοντας λειτουργική μακροζωία και αποτελεσματικότητα.
Επείγοντα Βήματα Προστασίας
Δεδομένου του συνεχιζόμενου κινδύνου που ενέχει το DEEPDATA και της μη επιδιορθωμένης ευπάθειας του Fortinet, είναι σημαντικό για τους οργανισμούς και τους χρήστες να λάβουν άμεσα μέτρα για τον μετριασμό πιθανής ζημιάς:
- Παρακολούθηση ενημερώσεων κώδικα : Μείνετε ενημερωμένοι για τις ενημερώσεις κώδικα ασφαλείας από το Fortinet και εφαρμόστε τις αμέσως μόλις γίνουν διαθέσιμες.
- Βελτιώστε την παρακολούθηση δικτύου : Εφαρμόστε ισχυρές λύσεις ανίχνευσης και απόκρισης τελικού σημείου (EDR) για να εντοπίσετε ασυνήθιστη δραστηριότητα.
- Διεξαγωγή ελέγχων διαπιστευτηρίων : Αλλάζετε τακτικά τα διαπιστευτήρια VPN και παρακολουθείτε για μη εξουσιοδοτημένες απόπειρες πρόσβασης.
- Δίκτυα τμημάτων : Περιορίστε την πρόσβαση σε κρίσιμους πόρους για να ελαχιστοποιήσετε τον αντίκτυπο των παραβιασμένων διαπιστευτηρίων.
Το κακόβουλο λογισμικό DEEPDATA υπογραμμίζει τα μεγάλα διακυβεύματα των ανεπίλυτων τρωτών σημείων σε ευρέως χρησιμοποιούμενο λογισμικό. Καθώς οι φορείς απειλών όπως το BrazenBamboo συνεχίζουν να βελτιώνουν τα εργαλεία τους, οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση, χρησιμοποιώντας πολυεπίπεδες άμυνες και προληπτική διαχείριση ευπάθειας για την αντιμετώπιση προηγμένων απειλών στον κυβερνοχώρο.
Το ρολόι τρέχει για την αντιμετώπιση του ελαττώματος του Fortinet—οι επιχειρήσεις και τα άτομα πρέπει να δράσουν γρήγορα για να προστατεύσουν τα ευαίσθητα δεδομένα και τα ψηφιακά τους στοιχεία.
