DEEPDATA 恶意软件利用未修补的 Fortinet 漏洞将 VPN 凭证暴露给网络间谍
网络安全研究人员发现了针对 Fortinet 的 FortiClient VPN 的重大新威胁,凸显了名为 DEEPDATA 的恶意软件的惊人能力。这次复杂的攻击归因于 BrazenBamboo 威胁组织,利用零日漏洞窃取敏感的 VPN 凭据,使企业和个人面临更高的间谍和数据盗窃风险。
Table of Contents
DEEPDATA 如何利用 Fortinet 漏洞
网络安全公司 Volexity 披露,DEEPDATA 利用 FortiClient for Windows 中一个之前未知的漏洞,直接从内存中获取 VPN 凭据。该漏洞于 2024 年 7 月报告给 Fortinet,截至撰写本文时仍未修复。该未修复的漏洞允许攻击者利用 Fortinet 流行的 VPN 软件未经授权访问公司网络,从而可能进一步渗透和窃取数据。
DEEPDATA 的核心是一个动态链接库 (DLL) 加载器 data.dll,它通过名为 frame.dll 的编排器模块解密并激活 12 个恶意插件。其中一个插件专门针对 FortiClient,可提取 VPN 凭据,让攻击者在受感染的环境中获得隐秘的立足点。
DEEPDATA:间谍活动的新境界
DEEPDATA 的功能是 BrazenBamboo 设计的更广泛工具包的一部分,BrazenBamboo 是一个与中国相关的 APT41 威胁行为者关系密切的组织。该恶意软件套件扩展了早期的框架,例如 LightSpy,这是一个针对 macOS、iOS 和 Windows 的多功能间谍软件平台。
DEEPDATA 及其相关工具的主要功能包括:
- 凭证盗窃:从流行的通信应用程序(例如 WhatsApp、Telegram、Signal 和 KeePass)获取凭证。
- 数据泄露:收集网络浏览器详细信息、应用程序密码、Wi-Fi 热点数据以及有关已安装软件的信息。
- 持续监视:保持对目标设备的长期隐秘访问,以进行全面的间谍活动。
这种多功能恶意软件强调了对通信平台的细致关注,攻击者优先考虑隐身和持久性,以最大限度地增加情报收集机会。
DEEPPOST 和 LightSpy:高级攻击的补充工具
BrazenBamboo 的网络武器库不止于 DEEPDATA。其 DEEPPOST 工具有助于数据泄露,使攻击者能够将被盗文件传输到远程服务器。同时,自 2022 年开始运营的 LightSpy 框架展示了先进的模块化,采用专门的插件来:
- 录制网络摄像头的镜头。
- 通过远程 shell 执行命令。
- 收集音频、击键和浏览器数据。
- 捕获屏幕图像并清点已安装的软件。
LightSpy 的 Windows 变体架构是通过自定义安装程序进行部署的,这表明它的开发是系统性且资金充足的定制黑客工具开发工作的一部分。
对网络安全和间谍活动的影响
DEEPDATA 和 LightSpy 之间的代码和基础设施重叠表明,这些恶意软件家族可能来自受雇为国家行为者开发工具的私营企业。成都 404 和 I-Soon 等公司就是涉嫌为政府制作攻击性网络工具的典型例子。
DEEPDATA 的发现凸显了模块化恶意软件框架日益流行的趋势,这些框架专为多平台功能而设计。这种方法使 BrazenBamboo 等威胁行为者能够调整其工具以适应各种操作系统和环境,从而确保操作的持久性和有效性。
紧急保护措施
鉴于 DEEPDATA 和未修补的 Fortinet 漏洞带来的持续风险,组织和用户必须立即采取措施减轻潜在损害:
- 监控补丁:及时了解 Fortinet 的安全补丁,并在补丁发布后立即应用。
- 增强网络监控:实施强大的端点检测和响应 (EDR) 解决方案来识别异常活动。
- 进行凭证审核:定期更改 VPN 凭证并监控未经授权的访问尝试。
- 分段网络:限制对关键资源的访问,以最大限度地减少泄露凭证的影响。
DEEPDATA 恶意软件凸显了广泛使用的软件中未解决的漏洞所带来的高风险。随着 BrazenBamboo 等威胁行为者不断改进其工具,组织必须保持警惕,采用分层防御和主动漏洞管理来应对高级网络威胁。
解决 Fortinet 漏洞的时间已经不多了——企业和个人必须迅速采取行动来保护他们的敏感数据和数字资产。
