Вредоносное ПО DEEPDATA использует неисправленную уязвимость Fortinet, делая учетные данные VPN доступными для кибершпионажа

Исследователи кибербезопасности обнаружили существенную новую угрозу, нацеленную на FortiClient VPN от Fortinet, подчеркнув тревожные возможности вредоносного ПО, известного как DEEPDATA. Эта сложная атака, приписываемая группе угроз BrazenBamboo, использует уязвимость нулевого дня для кражи конфиденциальных учетных данных VPN, подвергая компании и частных лиц повышенному риску шпионажа и кражи данных.

Как DEEPDATA использует уязвимость Fortinet

Раскрытая компанией Volexity, занимающейся кибербезопасностью, DEEPDATA использует ранее неизвестную уязвимость в FortiClient для Windows для сбора учетных данных VPN непосредственно из памяти. Эта уязвимость, о которой Fortinet сообщила в июле 2024 года, остается неисправленной на момент написания этой статьи. Неисправленная уязвимость позволяет злоумышленникам использовать популярное программное обеспечение VPN Fortinet для получения несанкционированного доступа к корпоративным сетям, что потенциально позволяет осуществлять дальнейшее проникновение и кражу данных.

В основе DEEPDATA лежит загрузчик библиотеки динамической компоновки (DLL), data.dll, который расшифровывает и активирует 12 вредоносных плагинов через модуль оркестратора, называемый frame.dll. Один плагин, специально нацеленный на FortiClient, извлекает учетные данные VPN, предоставляя злоумышленникам скрытую опору в скомпрометированных средах.

DEEPDATA: Новый уровень шпионажа

Возможности DEEPDATA являются частью более широкого набора инструментов, разработанного BrazenBamboo, группой, тесно связанной с китайской группой APT41. Набор вредоносных программ расширяет более ранние фреймворки, такие как LightSpy, универсальная платформа шпионского ПО, нацеленная на macOS, iOS и Windows.

Ключевые особенности DEEPDATA и связанных с ней инструментов включают в себя :

• Кража учетных данных : перехватывает учетные данные из популярных приложений для общения, таких как WhatsApp, Telegram, Signal и KeePass.
• Извлечение данных : собирает данные веб-браузера, пароли приложений, данные точек доступа Wi-Fi и информацию об установленном программном обеспечении.
• Постоянное наблюдение : обеспечивает скрытый и долгосрочный доступ к целевым устройствам для комплексного шпионажа.

Эта многофункциональная вредоносная программа демонстрирует пристальное внимание к платформам связи, при этом злоумышленники отдают приоритет скрытности и настойчивости, чтобы максимально использовать возможности сбора разведывательной информации.

DEEPPOST и LightSpy: дополнительные инструменты для продвинутых атак

Киберарсенал BrazenBamboo не ограничивается DEEPDATA. Его инструмент DEEPPOST облегчает эксфильтрацию данных, позволяя злоумышленникам переносить украденные файлы на удаленные серверы. Между тем, фреймворк LightSpy, работающий с 2022 года, демонстрирует расширенную модульность, используя специализированные плагины для:

• Запись видео с веб-камеры.
• Выполнение команд через удаленную оболочку.
• Собирайте аудиоданные, данные о нажатиях клавиш и данные браузера.
• Делайте снимки экрана и инвентаризируйте установленное программное обеспечение.

Архитектура LightSpy для вариантов Windows, развертываемая с помощью специального установщика, предполагает, что ее разработка является частью систематической и хорошо финансируемой работы по созданию индивидуальных хакерских инструментов.

Последствия для кибербезопасности и шпионажа

Совпадение кода и инфраструктуры DEEPDATA и LightSpy предполагает, что эти семейства вредоносных программ могут исходить от частных предприятий, которые заключили контракт на разработку инструментов для государственных субъектов. Такие компании, как Chengdu 404 и I-Soon, являются яркими примерами организаций, вовлеченных в создание наступательных киберинструментов для использования правительством.

Открытие DEEPDATA подчеркивает растущую тенденцию модульных вредоносных фреймворков, разработанных для многоплатформенных возможностей. Этот подход позволяет субъектам угроз, таким как BrazenBamboo, адаптировать свои инструменты для различных операционных систем и сред, обеспечивая операционную долговечность и эффективность.

Срочные меры по защите

Учитывая постоянный риск, создаваемый DEEPDATA и неисправленной уязвимостью Fortinet, организациям и пользователям крайне важно принять немедленные меры для минимизации потенциального ущерба:

1. Мониторинг обновлений : будьте в курсе обновлений безопасности от Fortinet и устанавливайте их, как только они становятся доступны.
2. Улучшение мониторинга сети : внедрение надежных решений обнаружения и реагирования на конечные точки (EDR) для выявления необычной активности.
3. Проводите аудит учетных данных : регулярно меняйте учетные данные VPN и отслеживайте попытки несанкционированного доступа.
4. Сегментация сетей : ограничение доступа к критически важным ресурсам для минимизации последствий компрометации учетных данных.

Вредоносное ПО DEEPDATA подчеркивает высокие ставки неразрешенных уязвимостей в широко используемом программном обеспечении. Поскольку такие злоумышленники, как BrazenBamboo, продолжают совершенствовать свои инструменты, организации должны сохранять бдительность, используя многоуровневую защиту и упреждающее управление уязвимостями для противодействия продвинутым киберугрозам.

Время на устранение уязвимости Fortinet не ждет — предприятиям и частным лицам необходимо действовать быстро, чтобы защитить свои конфиденциальные данные и цифровые активы.