DEEPDATA-malware maakt misbruik van ongepatchte Fortinet-fout en stelt VPN-referenties bloot aan cyberspionage

Cybersecurity-onderzoekers hebben een belangrijke nieuwe dreiging ontdekt die gericht is op Fortinet's FortiClient VPN, en benadrukken de alarmerende mogelijkheden van malware die bekendstaat als DEEPDATA. Deze geavanceerde aanval, toegeschreven aan de BrazenBamboo-dreigingsgroep, maakt gebruik van een zero-day-kwetsbaarheid om gevoelige VPN-referenties te stelen, waardoor bedrijven en individuen een groter risico lopen op spionage en gegevensdiefstal.

Hoe DEEPDATA de kwetsbaarheid van Fortinet uitbuit

DEEPDATA, bekendgemaakt door cybersecuritybedrijf Volexity, maakt gebruik van een voorheen onbekende kwetsbaarheid in FortiClient voor Windows om VPN-referenties rechtstreeks uit het geheugen te halen. Deze fout, die in juli 2024 aan Fortinet werd gemeld, is op het moment van schrijven nog niet gepatcht. De niet-aangepakte kwetsbaarheid stelt aanvallers in staat om de populaire VPN-software van Fortinet te misbruiken om ongeautoriseerde toegang te krijgen tot bedrijfsnetwerken, wat mogelijk verdere infiltratie en gegevensdiefstal mogelijk maakt.

De kern van DEEPDATA is een dynamic-link library (DLL) loader, data.dll, die 12 kwaadaardige plugins decodeert en activeert via een orchestratormodule genaamd frame.dll. Eén plugin, specifiek gericht op FortiClient, extraheert VPN-referenties, waardoor aanvallers een heimelijke voet aan de grond krijgen in gecompromitteerde omgevingen.

DEEPDATA: Een nieuw niveau van spionage

De mogelijkheden van DEEPDATA maken deel uit van een bredere toolkit die is ontwikkeld door BrazenBamboo, een groep die nauw verbonden is met de aan China gelieerde APT41-dreigingsactor. De malwaresuite bouwt voort op eerdere frameworks zoals LightSpy, een veelzijdig spywareplatform gericht op macOS, iOS en Windows.

Belangrijke kenmerken van DEEPDATA en de bijbehorende tools zijn :

  • Diefstal van inloggegevens : hiermee worden inloggegevens van populaire communicatie-apps zoals WhatsApp, Telegram, Signal en KeePass buitgemaakt.
  • Gegevensexfiltratie : verzamelt gegevens van webbrowsers, wachtwoorden van applicaties, gegevens van Wi-Fi-hotspots en informatie over geïnstalleerde software.
  • Continue bewaking : zorgt voor heimelijke, langdurige toegang tot doelapparaten voor uitgebreide spionage.

Deze multifunctionele malware richt zich nauwgezet op communicatieplatformen, waarbij aanvallers prioriteit geven aan stealth en persistentie om de mogelijkheden voor het verzamelen van informatie te maximaliseren.

DEEPPOST en LightSpy: aanvullende tools voor geavanceerde aanvallen

BrazenBamboo's cyberarsenaal stopt niet bij DEEPDATA. De DEEPPOST-tool faciliteert data-exfiltratie, waardoor aanvallers gestolen bestanden naar externe servers kunnen overbrengen. Ondertussen demonstreert het LightSpy-framework, operationeel sinds 2022, geavanceerde modulariteit, waarbij gespecialiseerde plug-ins worden gebruikt om:

  • Webcambeelden opnemen.
  • Voer opdrachten uit via een externe shell.
  • Verzamel audio, toetsaanslagen en browsergegevens.
  • Maak schermafbeeldingen en inventariseer de geïnstalleerde software.

De architectuur van LightSpy voor Windows-varianten, geïmplementeerd via een aangepast installatieprogramma, suggereert dat de ontwikkeling ervan deel uitmaakt van een systematische en goed gefinancierde inspanning om op maat gemaakte hackingtools te creëren.

Implicaties voor cyberbeveiliging en spionage

De overlapping in code en infrastructuur tussen DEEPDATA en LightSpy suggereert dat deze malwarefamilies afkomstig kunnen zijn van particuliere ondernemingen die zijn gecontracteerd om tools te ontwikkelen voor actoren van natiestaten. Bedrijven zoals Chengdu 404 en I-Soon zijn goede voorbeelden van organisaties die betrokken zijn bij het maken van offensieve cybertools voor overheidsgebruik.

De ontdekking van DEEPDATA benadrukt de groeiende trend van modulaire malwareframeworks die zijn ontworpen voor multiplatformcapaciteiten. Deze aanpak stelt dreigingsactoren zoals BrazenBamboo in staat hun tools aan te passen voor verschillende besturingssystemen en omgevingen, wat operationele levensduur en effectiviteit garandeert.

Dringende stappen voor bescherming

Gezien het aanhoudende risico dat DEEPDATA en de ongepatchte kwetsbaarheid van Fortinet met zich meebrengen, is het van cruciaal belang dat organisaties en gebruikers onmiddellijk maatregelen nemen om mogelijke schade te beperken:

  1. Controleer op patches : blijf op de hoogte van beveiligingspatches van Fortinet en pas ze toe zodra ze beschikbaar zijn.
  2. Verbeter netwerkbewaking : implementeer robuuste EDR-oplossingen (Endpoint Detection and Response) om ongebruikelijke activiteiten te identificeren.
  3. Voer controles van inloggegevens uit : wijzig regelmatig de VPN-inloggegevens en controleer op ongeautoriseerde toegangspogingen.
  4. Segmenteer netwerken : beperk de toegang tot cruciale bronnen om de impact van gecompromitteerde inloggegevens te minimaliseren.

De DEEPDATA-malware onderstreept de hoge inzet van onopgeloste kwetsbaarheden in veelgebruikte software. Terwijl dreigingsactoren zoals BrazenBamboo hun tools blijven verfijnen, moeten organisaties waakzaam blijven en gelaagde verdedigingen en proactief kwetsbaarheidsbeheer gebruiken om geavanceerde cyberdreigingen tegen te gaan.

De tijd dringt als het gaat om het oplossen van het Fortinet-lek: bedrijven en particulieren moeten snel actie ondernemen om hun gevoelige gegevens en digitale activa te beschermen.

Tegen Zane
November 20, 2024
Malware
Nederlands
November 20, 2024
Malware

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.