DEEPDATA skadlig programvara utnyttjar opatchad Fortinet-fel och exponerar VPN-uppgifter för cyberspionage

Cybersäkerhetsforskare har avslöjat ett betydande nytt hot riktat mot Fortinets FortiClient VPN, vilket lyfter fram de alarmerande egenskaperna hos skadlig programvara känd som DEEPDATA. Denna sofistikerade attack, som tillskrivs BrazenBamboo-hotgruppen, utnyttjar en nolldagarssårbarhet för att stjäla känsliga VPN-uppgifter, vilket ger företag och individer en ökad risk för spionage och datastöld.

Hur DEEPDATA utnyttjar Fortinet-sårbarheten

DEEPDATA, som avslöjats av cybersäkerhetsföretaget Volexity, utnyttjar en tidigare okänd sårbarhet i FortiClient för Windows för att hämta VPN-referenser direkt från minnet. Denna brist, som rapporterades till Fortinet i juli 2024, förblir oupprättad när detta skrivs. Den oadresserade sårbarheten tillåter angripare att utnyttja Fortinets populära VPN-programvara för att få obehörig åtkomst till företagsnätverk, vilket potentiellt möjliggör ytterligare infiltration och datastöld.

Hjärtat i DEEPDATA är en dynamic-link library (DLL) loader, data.dll, som dekrypterar och aktiverar 12 skadliga plugins genom en orkestratormodul som heter frame.dll. Ett plugin, specifikt inriktat på FortiClient, extraherar VPN-referenser, vilket ger angripare ett smygande fotfäste i komprometterade miljöer.

DEEPDATA: En ny nivå av spionage

DEEPDATAs kapacitet är en del av en bredare verktygslåda som konstruerats av BrazenBamboo, en grupp nära kopplad till den Kina-associerade APT41-hotaktören. Skadlig programvara expanderar på tidigare ramverk som LightSpy, en mångsidig spionprogramplattform riktad mot macOS, iOS och Windows.

Viktiga funktioner i DEEPDATA och dess relaterade verktyg inkluderar :

  • Autentiseringsstöld : Fångar inloggningsuppgifter från populära kommunikationsappar som WhatsApp, Telegram, Signal och KeePass.
  • Dataexfiltrering : Samlar in webbläsardetaljer, programlösenord, Wi-Fi-hotspotdata och information om installerad programvara.
  • Beständig övervakning : Upprätthåller smyg, långvarig tillgång till målenheter för omfattande spionage.

Den här multifunktionella skadliga programvaran belyser ett noggrant fokus på kommunikationsplattformar, där angripare prioriterar smygande och uthållighet för att maximera möjligheter för insamling av intelligens.

DEEPPOST och LightSpy: Kompletterande verktyg för avancerade attacker

BrazenBamboos cyberarsenal stannar inte vid DEEPDATA. Dess DEEPPOST-verktyg underlättar dataexfiltrering, vilket gör att angripare kan överföra stulna filer till fjärrservrar. Samtidigt visar LightSpy-ramverket, som har varit i drift sedan 2022, avancerad modularitet, med hjälp av specialiserade plugins för att:

  • Spela in webbkamerafilmer.
  • Utför kommandon via ett fjärrskal.
  • Samla in ljud, tangenttryckningar och webbläsardata.
  • Fånga skärmbilder och inventera installerad programvara.

LightSpys arkitektur för Windows-varianter, distribuerad via ett anpassat installationsprogram, tyder på att dess utveckling är en del av ett systematiskt och välfinansierat försök att skapa skräddarsydda hackverktyg.

Konsekvenser för cybersäkerhet och spionage

Överlappningen i kod och infrastruktur mellan DEEPDATA och LightSpy tyder på att dessa skadliga programfamiljer kan härröra från privata företag som kontrakterats för att utveckla verktyg för nationalstatliga aktörer. Företag som Chengdu 404 och I-Soon är utmärkta exempel på organisationer som är inblandade i att skapa offensiva cyberverktyg för statligt bruk.

Upptäckten av DEEPDATA belyser den växande trenden med modulära ramverk för skadlig programvara designade för multiplattformsfunktioner. Detta tillvägagångssätt gör det möjligt för hotaktörer som BrazenBamboo att anpassa sina verktyg för olika operativsystem och miljöer, vilket säkerställer operativ livslängd och effektivitet.

Brådskande åtgärder för skydd

Med tanke på den pågående risken som DEEPDATA och den opatchade Fortinet-sårbarheten utgör, är det avgörande för organisationer och användare att vidta omedelbara åtgärder för att minska potentiell skada:

  1. Övervaka för patchar : Håll dig uppdaterad om säkerhetskorrigeringar från Fortinet och applicera dem så snart de blir tillgängliga.
  2. Förbättra nätverksövervakning : Implementera robusta lösningar för slutpunktsdetektion och -svar (EDR) för att identifiera ovanlig aktivitet.
  3. Genomför autentiseringsrevisioner : Ändra regelbundet VPN-uppgifter och övervaka för obehöriga åtkomstförsök.
  4. Segmentera nätverk : Begränsa åtkomsten till kritiska resurser för att minimera påverkan av komprometterade autentiseringsuppgifter.

DEEPDATA skadlig programvara understryker den höga insatsen av olösta sårbarheter i mycket använd programvara. När hotaktörer som BrazenBamboo fortsätter att förfina sina verktyg måste organisationer förbli vaksamma, använda skiktade försvar och proaktiv sårbarhetshantering för att motverka avancerade cyberhot.

Klockan tickar på att ta itu med Fortinet-bristen – företag och privatpersoner måste agera snabbt för att skydda sina känsliga data och digitala tillgångar.

År Zane
November 20, 2024
malware
Svenska
November 20, 2024
malware

Populära inlägg

Vad är OperaGXSetup.exe-filen och är den skadlig?

11 months sedan

Eporner.com och varför dess överdrivna popup-fönster är riskabla

12 days sedan

Notera: Någon har lagt till dig som sin e-postbedrägeri för...

10 months sedan

HackTool:Win32/Crack: ett skadligt hot som allvarligt kan...

7 months sedan

Ett potentiellt allvarligt hot: Trojan:Win32/Suschil!rfn

19 days sedan

Vad är hotet om den trojanska hästen från Packunwan och hur...

11 months sedan
Svenska
Läser in...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.