Malware DEEPDATA wykorzystuje niezałataną lukę Fortinet, ujawniając dane uwierzytelniające VPN cybernetycznemu szpiegostwu

Badacze cyberbezpieczeństwa odkryli nowe, znaczące zagrożenie skierowane przeciwko FortiClient VPN firmy Fortinet, podkreślając alarmujące możliwości złośliwego oprogramowania znanego jako DEEPDATA. Ten wyrafinowany atak, przypisywany grupie zagrożeń BrazenBamboo, wykorzystuje lukę typu zero-day w celu kradzieży poufnych danych uwierzytelniających VPN, narażając firmy i osoby prywatne na zwiększone ryzyko szpiegostwa i kradzieży danych.

W jaki sposób DEEPDATA wykorzystuje lukę w zabezpieczeniach Fortinet

Ujawniona przez firmę zajmującą się cyberbezpieczeństwem Volexity, DEEPDATA wykorzystuje nieznaną wcześniej lukę w zabezpieczeniach FortiClient dla systemu Windows, aby zbierać dane uwierzytelniające VPN bezpośrednio z pamięci. Ta luka, zgłoszona firmie Fortinet w lipcu 2024 r., pozostaje niezałatana w momencie pisania tego tekstu. Niezaadresowana luka umożliwia atakującym wykorzystanie popularnego oprogramowania VPN firmy Fortinet w celu uzyskania nieautoryzowanego dostępu do sieci korporacyjnych, co potencjalnie umożliwia dalszą infiltrację i kradzież danych.

Sercem DEEPDATA jest ładowarka biblioteki dołączanej dynamicznie (DLL), data.dll, która odszyfrowuje i aktywuje 12 złośliwych wtyczek za pośrednictwem modułu orkiestratora o nazwie frame.dll. Jedna wtyczka, specjalnie ukierunkowana na FortiClient, wyodrębnia dane uwierzytelniające VPN, zapewniając atakującym ukryty punkt zaczepienia w zagrożonych środowiskach.

DEEPDATA: Nowy poziom szpiegostwa

Możliwości DEEPDATA są częścią szerszego zestawu narzędzi opracowanego przez BrazenBamboo, grupę ściśle powiązaną z aktorem zagrożenia APT41 powiązanym z Chinami. Pakiet malware rozszerza wcześniejsze ramy, takie jak LightSpy, wszechstronna platforma spyware ukierunkowana na macOS, iOS i Windows.

Główne cechy narzędzia DEEPDATA i powiązanych z nim narzędzi obejmują :

  • Kradzież danych uwierzytelniających : przechwytuje dane uwierzytelniające z popularnych aplikacji komunikacyjnych, takich jak WhatsApp, Telegram, Signal i KeePass.
  • Eksfiltracja danych : zbiera szczegóły przeglądarki internetowej, hasła aplikacji, dane hotspotów Wi-Fi i informacje o zainstalowanym oprogramowaniu.
  • Stały nadzór : zapewnia dyskretny, długoterminowy dostęp do urządzeń docelowych, umożliwiając prowadzenie wszechstronnego szpiegostwa.

To wielofunkcyjne złośliwe oprogramowanie kładzie szczególny nacisk na platformy komunikacyjne, a atakujący priorytetowo traktują ukrywanie się i wytrwałość, aby zmaksymalizować możliwości gromadzenia informacji wywiadowczych.

DEEPPOST i LightSpy: uzupełniające się narzędzia do zaawansowanych ataków

Cybernetyczny arsenał BrazenBamboo nie kończy się na DEEPDATA. Jego narzędzie DEEPPOST ułatwia eksfiltrację danych, umożliwiając atakującym przesyłanie skradzionych plików na zdalne serwery. Tymczasem framework LightSpy, działający od 2022 r., wykazuje zaawansowaną modułowość, wykorzystując specjalistyczne wtyczki do:

  • Nagrywaj materiał z kamery internetowej.
  • Wykonywanie poleceń za pomocą powłoki zdalnej.
  • Zbieraj dane audio, naciśnięcia klawiszy i przeglądarki.
  • Przechwytywanie obrazów ekranu i inwentaryzacja zainstalowanego oprogramowania.

Architektura LightSpy przeznaczona dla systemów Windows, wdrażana za pośrednictwem niestandardowego instalatora, sugeruje, że jej rozwój jest częścią systematycznego i dobrze finansowanego wysiłku mającego na celu stworzenie niestandardowych narzędzi hakerskich.

Konsekwencje dla cyberbezpieczeństwa i szpiegostwa

Nakładanie się kodu i infrastruktury między DEEPDATA i LightSpy sugeruje, że te rodziny złośliwego oprogramowania mogą pochodzić od prywatnych przedsiębiorstw, które podpisały kontrakt na opracowanie narzędzi dla podmiotów państwowych. Firmy takie jak Chengdu 404 i I-Soon są głównymi przykładami organizacji zamieszanych w tworzenie ofensywnych narzędzi cybernetycznych do użytku rządowego.

Odkrycie DEEPDATA podkreśla rosnący trend modułowych struktur złośliwego oprogramowania zaprojektowanych dla możliwości multiplatformowych. To podejście umożliwia aktorom zagrożeń, takim jak BrazenBamboo, dostosowywanie swoich narzędzi do różnych systemów operacyjnych i środowisk, zapewniając długowieczność i skuteczność operacyjną.

Pilne kroki w celu ochrony

Biorąc pod uwagę ciągłe ryzyko związane z luką w zabezpieczeniach DEEPDATA i niezałataną luką w zabezpieczeniach Fortinet, organizacje i użytkownicy muszą natychmiast podjąć kroki w celu ograniczenia potencjalnych szkód:

  1. Monitoruj poprawki : Bądź na bieżąco z poprawkami zabezpieczeń od Fortinet i stosuj je, gdy tylko będą dostępne.
  2. Ulepsz monitorowanie sieci : Wdróż niezawodne rozwiązania wykrywania i reagowania na punkty końcowe (EDR) w celu wykrywania nietypowej aktywności.
  3. Przeprowadzaj audyty uwierzytelniania : regularnie zmieniaj dane uwierzytelniające VPN i monitoruj próby nieautoryzowanego dostępu.
  4. Segmentuj sieci : Ogranicz dostęp do zasobów o kluczowym znaczeniu, aby zminimalizować skutki naruszenia danych uwierzytelniających.

Oprogramowanie złośliwe DEEPDATA podkreśla wysokie ryzyko nierozwiązanych luk w powszechnie używanym oprogramowaniu. Ponieważ aktorzy zagrożeń, tacy jak BrazenBamboo, nadal udoskonalają swoje narzędzia, organizacje muszą zachować czujność, stosując wielowarstwowe zabezpieczenia i proaktywne zarządzanie lukami w celu przeciwdziałania zaawansowanym zagrożeniom cybernetycznym.

Czas naprawy luki w zabezpieczeniach Fortinet się kurczy — firmy i osoby prywatne muszą działać szybko, aby chronić swoje poufne dane i zasoby cyfrowe.

Do Zane
November 20, 2024
Złośliwe oprogramowanie
Polski
November 20, 2024
Złośliwe oprogramowanie

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.