DEEPDATA 惡意軟體利用未修補的 Fortinet 缺陷,將 VPN 憑證暴露給網路間諜活動
網路安全研究人員發現了針對 Fortinet 的 FortiClient VPN 的重大新威脅,突顯了名為 DEEPDATA 的惡意軟體的驚人功能。這種由 BrazenBamboo 威脅組織發起的複雜攻擊利用零日漏洞竊取敏感 VPN 憑證,使企業和個人面臨更高的間諜和資料竊取風險。
Table of Contents
DEEPDATA 如何利用 Fortinet 漏洞
網路安全公司 Volexity 揭露,DEEPDATA 利用 FortiClient for Windows 中先前未知的漏洞直接從記憶體中取得 VPN 憑證。此缺陷於 2024 年 7 月向 Fortinet 報告,截至撰寫本文時仍未修補。未解決的漏洞允許攻擊者利用 Fortinet 流行的 VPN 軟體來獲得對企業網路的未經授權的訪問,從而可能導致進一步的滲透和資料竊取。
DEEPDATA 的核心是一個動態連結庫 (DLL) 載入器 data.dll,它透過一個名為frame.dll 的協調器模組解密並啟動 12 個惡意插件。專門針對 FortiClient 的插件可以提取 VPN 憑證,從而使攻擊者能夠在受感染的環境中獲得秘密立足點。
DEEPDATA:間諜活動的新水平
DEEPDATA 的功能是 BrazenBamboo 設計的更廣泛工具包的一部分,BrazenBamboo 是一個與中國相關的 APT41 威脅組織密切相關的組織。該惡意軟體套件擴展了 LightSpy 等早期框架,這是一個針對 macOS、iOS 和 Windows 的多功能間諜軟體平台。
DEEPDATA 及其相關工具的主要功能包括:
- 憑證盜竊:從 WhatsApp、Telegram、Signal 和 KeePass 等流行通訊應用程式捕獲憑證。
- 資料外洩:收集 Web 瀏覽器詳細資訊、應用程式密碼、Wi-Fi 熱點資料以及有關已安裝軟體的資訊。
- 持續監視:保持對目標設備的秘密、長期訪問以進行全面的間諜活動。
這種多功能惡意軟體突顯了對通訊平台的一絲不苟的關注,攻擊者優先考慮隱密性和持久性,以最大限度地利用情報收集機會。
DEEPPOST 和 LightSpy:進階攻擊的補充工具
BrazenBamboo 的網路武器庫並不止於 DEEPDATA。其 DEEPPOST 工具有助於資料洩露,使攻擊者能夠將竊取的檔案傳輸到遠端伺服器。同時,自 2022 年開始運行的 LightSpy 框架展示了先進的模組化性,採用專門的插件來:
- 記錄網路攝影機鏡頭。
- 透過遠端 shell 執行命令。
- 收集音訊、按鍵和瀏覽器資料。
- 擷取螢幕影像並清點已安裝的軟體。
LightSpy 的 Windows 變體架構透過自訂安裝程式部署,顯示其開發是創建自訂駭客工具的系統性且資金充足的工作的一部分。
對網路安全和間諜活動的影響
DEEPDATA 和 LightSpy 之間程式碼和基礎設施的重疊表明,這些惡意軟體系列可能源於為民族國家行為者開發工具的私人企業。成都 404 和 I-Soon 等公司是參與製作供政府使用的攻擊性網路工具的組織的典型例子。
DEEPDATA 的發現凸顯了專為多平台功能而設計的模組化惡意軟體框架的成長趨勢。這種方法使像 BrazenBamboo 這樣的威脅參與者能夠針對各種作業系統和環境調整其工具,從而確保操作的壽命和有效性。
緊急保護措施
鑑於 DEEPDATA 和未修補的 Fortinet 漏洞帶來的持續風險,組織和使用者立即採取措施減輕潛在損害至關重要:
- 監控補丁:隨時了解 Fortinet 的安全補丁並在可用時立即套用它們。
- 增強網路監控:實施強大的端點偵測和回應 (EDR) 解決方案來識別異常活動。
- 進行憑證審核:定期變更 VPN 憑證並監控未經授權的存取嘗試。
- 分段網路:限制對關鍵資源的訪問,以最大程度地減少憑證洩露的影響。
DEEPDATA 惡意軟體凸顯了廣泛使用的軟體中未解決的漏洞的高風險。隨著 BrazenBamboo 等威脅行為者不斷完善其工具,組織必須保持警惕,採用分層防禦和主動漏洞管理來應對高階網路威脅。
解決 Fortinet 缺陷的時間緊迫——企業和個人必須迅速採取行動,保護他們的敏感資料和數位資產。
