Кіберзлочинна група BrazenBamboo використовує незакриту вразливість у FortiClient для Windows від Fortinet, щоб викрасти VPN-дані, використовуючи модульну платформу DEEPDATA.
Кібербезпекова компанія Volexity, яка розкрила ці дані, повідомила, що у липні 2024 року виявила експлуатацію цієї «нульової» вразливості, приписавши розробку DEEPDATA, DEEPPOST та LightSpy групі BrazenBamboo.
DEEPDATA — це постексплуатаційний інструмент для Windows, який може збирати широкий спектр інформації з цільових пристроїв. Як зазначили дослідники, DEEPDATA містить динамічну бібліотеку «data.dll», яка запускає 12 різних плагінів, одним з яких є «FortiClient» DLL. Цей плагін використовує невиправлену вразливість у клієнті Fortinet VPN, щоб викрасти VPN-дані користувачів з пам’яті процесу програми.
BlackBerry раніше цього тижня детально описала використання DEEPDATA для шпигунства за різними додатками, такими як WhatsApp, Telegram, Signal, WeChat та інші. LightSpy, що також розроблений BrazenBamboo, орієнтований на платформи macOS, iOS і Windows та здатен збирати дані з різних джерел, включно з відео- та аудіозаписами, знімками екрану, інформацією про браузер, файли та натискання клавіш.
Невиправлена вразливість у Fortinet
DEEPDATA використовує незакриту вразливість у FortiClient, яка залишається невиправленою з липня 2024 року. Volexity повідомила про цю вразливість Fortinet, однак компанія ще не випустила оновлення. На момент написання статті компанія Fortinet не надала коментарів.
Модулі DEEPPOST та LightSpy
Окрім DEEPDATA, арсенал BrazenBamboo також включає DEEPPOST, інструмент для ексфільтрації даних на віддалені сервери, що розширює шпигунські можливості групи. LightSpy, інша шкідлива програма BrazenBamboo, використовує WebSocket і HTTPS для ексфільтрації даних і застосовує кілька плагінів для доступу до вебкамери, запису звуку, збору даних з браузера та захоплення натискання клавіш.
Підтримка державних операторів
Аналіз Volexity виявив, що DEEPDATA і LightSpy мають подібності на рівні коду та інфраструктури, що вказує на можливе залучення приватної компанії до розробки шкідливого ПЗ для урядових структур, таких як Chengdu 404 та I-Soon.
BrazenBamboo характеризується як добре ресурсна кіберзлочинна група, що зберігає свою діяльність на різних платформах протягом тривалого часу.
