DEEPDATA マルウェアはパッチ未適用の Fortinet の脆弱性を悪用し、VPN 認証情報をサイバースパイにさらす

サイバーセキュリティ研究者は、Fortinet の FortiClient VPN を標的とする重大な新たな脅威を発見し、DEEPDATA として知られるマルウェアの驚くべき能力を浮き彫りにしました。BrazenBamboo 脅威グループによるこの高度な攻撃は、ゼロデイ脆弱性を悪用して機密の VPN 認証情報を盗み出し、企業や個人をスパイ行為やデータ盗難の危険にさらします。

DEEPDATAがフォーティネットの脆弱性を悪用する方法

サイバーセキュリティ企業 Volexity が明らかにしたように、DEEPDATA は FortiClient for Windows のこれまで知られていなかった脆弱性を利用して、VPN 認証情報をメモリから直接収集します。2024 年 7 月に Fortinet に報告されたこの欠陥は、本稿執筆時点では修正されていません。未修正の脆弱性により、攻撃者は Fortinet の人気の VPN ソフトウェアを悪用して企業ネットワークに不正アクセスし、さらなる侵入やデータ盗難を行える可能性があります。

DEEPDATA の中心にあるのは、ダイナミック リンク ライブラリ (DLL) ローダーの data.dll です。これは、frame.dll と呼ばれるオーケストレーター モジュールを通じて 12 個の悪意のあるプラグインを復号化してアクティブ化します。FortiClient を特にターゲットとするプラグインの 1 つは、VPN 認証情報を抽出し、侵害された環境内で攻撃者にステルス性の高い足場を提供します。

DEEPDATA: 新たなレベルのスパイ活動

DEEPDATA の機能は、中国関連の APT41 脅威アクターと密接な関係にあるグループである BrazenBamboo が開発した広範なツールキットの一部です。このマルウェア スイートは、macOS、iOS、Windows をターゲットとする多目的スパイウェア プラットフォームである LightSpy などの以前のフレームワークを拡張したものです。

DEEPDATA と関連ツールの主な機能は次のとおりです。

• 資格情報の盗難: WhatsApp、Telegram、Signal、KeePass などの一般的な通信アプリから資格情報を取得します。
• データの流出: Web ブラウザの詳細、アプリケーションのパスワード、Wi-Fi ホットスポット データ、インストールされているソフトウェアに関する情報を収集します。
• 持続的な監視: 包括的なスパイ活動のために、ターゲット デバイスへのステルス性の高い長期アクセスを維持します。

この多機能マルウェアは通信プラットフォームに細心の注意を払っており、攻撃者はステルス性と持続性を優先して情報収集の機会を最大化しています。

DEEPPOST と LightSpy: 高度な攻撃のための補完ツール

BrazenBamboo のサイバー兵器は DEEPDATA だけにとどまりません。同社の DEEPPOST ツールはデータの流出を容易にし、攻撃者が盗んだファイルをリモート サーバーに転送できるようにします。一方、2022 年から運用されている LightSpy フレームワークは、高度なモジュール性を備えており、次のような特殊なプラグインを採用しています。

• ウェブカメラの映像を録画します。
• リモート シェル経由でコマンドを実行します。
• 音声、キーストローク、ブラウザデータを収集します。
• 画面イメージをキャプチャし、インストールされているソフトウェアをインベントリします。

LightSpy の Windows 版のアーキテクチャは、カスタム インストーラーを介して導入され、その開発が、特注のハッキング ツールを作成するための体系的で資金の豊富な取り組みの一部であることを示唆しています。

サイバーセキュリティとスパイ活動への影響

DEEPDATA と LightSpy のコードとインフラストラクチャの重複は、これらのマルウェア ファミリが、国家主体向けのツールの開発を請け負った民間企業から派生したものである可能性を示唆しています。Chengdu 404 や I-Soon などの企業は、政府機関向けの攻撃的なサイバー ツールの作成に関与した組織の代表的な例です。

DEEPDATA の発見は、マルチプラットフォーム機能向けに設計されたモジュール型マルウェア フレームワークのトレンドが高まっていることを浮き彫りにしています。このアプローチにより、BrazenBamboo などの脅威アクターは、さまざまなオペレーティング システムや環境にツールを適応させ、運用の長期化と有効性を確保できます。

保護のための緊急措置

DEEPDATA とパッチが適用されていない Fortinet の脆弱性によってもたらされる継続的なリスクを考慮すると、組織とユーザーは潜在的な損害を軽減するために直ちに対策を講じることが重要です。

1. パッチの監視: Fortinet からのセキュリティ パッチを常に最新の状態に保ち、利用可能になったらすぐに適用します。
2. ネットワーク監視の強化: 異常なアクティビティを識別するための堅牢なエンドポイント検出および応答 (EDR) ソリューションを実装します。
3. 資格情報の監査を実施する: VPN 資格情報を定期的に変更し、不正なアクセスの試みを監視します。
4. ネットワークをセグメント化: 重要なリソースへのアクセスを制限して、資格情報の侵害による影響を最小限に抑えます。

DEEPDATA マルウェアは、広く使用されているソフトウェアの未解決の脆弱性がもたらす危険性の高さを浮き彫りにしています。BrazenBamboo などの脅威アクターがツールを改良し続ける中、組織は警戒を怠らず、高度なサイバー脅威に対抗するために多層防御とプロアクティブな脆弱性管理を採用する必要があります。

Fortinet の欠陥に対処する時間は刻々と迫っており、企業や個人は機密データやデジタル資産を保護するために迅速に行動する必要があります。