DEEPDATA Explora falha não corrigida no FortiClient para roubar credenciais de VPN

Um hacker conhecido como BrazenBamboo explorou uma falha de segurança não resolvida no FortiClient da Fortinet para Windows com o objetivo de extrair credenciais de VPN como parte de um framework modular chamado DEEPDATA.

A Volexity, que divulgou essas descobertas na sexta-feira, identificou a exploração zero-day dessa vulnerabilidade de divulgação de credenciais em julho de 2024, descrevendo o BrazenBamboo como o desenvolvedor por trás de DEEPDATA, DEEPPOST e LightSpy.

"DEEPDATA é uma ferramenta de pós-exploração modular para o sistema operacional Windows que é usada para coletar uma ampla gama de informações dos dispositivos-alvo," afirmaram os pesquisadores de segurança Callum Roxan, Charlie Gardner e Paul Rascagneres na sexta-feira.

O malware veio à tona no início desta semana, quando a BlackBerry detalhou o framework de vigilância baseado em Windows utilizado pelo hacker APT41, ligado à China, para colher dados do WhatsApp, Telegram, Signal, WeChat, LINE, QQ, Skype, Microsoft Outlook, DingDing, Feishu, KeePass, além de senhas de aplicativos, informações de navegadores web, hotspots Wi-Fi e softwares instalados.

"Desde o desenvolvimento inicial do implante de spyware LightSpy em 2022, o atacante tem trabalhado de maneira persistente e metódica no alvo estratégico de plataformas de comunicação, com ênfase em sigilo e acesso persistente," observou a equipe de pesquisa de ameaças da BlackBerry.

O componente central do DEEPDATA é uma biblioteca de link dinâmico (DLL) chamada "data.dll" que é projetada para descriptografar e lançar 12 diferentes plugins usando um módulo orquestrador ("frame.dll"). Entre os plugins, há uma DLL "FortiClient" não documentada previamente que pode capturar credenciais de VPN.

"Este plugin foi encontrado explorando uma vulnerabilidade zero-day no cliente VPN da Fortinet no Windows, permitindo que ele extraísse as credenciais do usuário da memória do processo do cliente," disseram os pesquisadores.

A Volexity reportou a falha à Fortinet em 18 de julho de 2024, mas observou que a vulnerabilidade ainda não foi corrigida. O The Hacker News entrou em contato com a empresa para comentários, e atualizaremos a história se recebermos uma resposta.

Outra ferramenta do portfólio de malware do BrazenBamboo é o DEEPPOST, uma ferramenta de exfiltração de dados pós-exploração capaz de enviar arquivos para um ponto remoto.

DEEPDATA e DEEPPOST aumentam as já poderosas capacidades de espionagem cibernética do hacker, expandindo o LightSpy, que agora está disponível em versões para macOS, iOS e Windows.

"A arquitetura da variante Windows do LightSpy é diferente das outras variantes documentadas do sistema operacional," disse a Volexity. "Esta variante é implantada por um instalador que executa um código shell na memória. O shellcode baixa e decodifica o componente orquestrador do servidor de comando e controle."

O orquestrador é executado por meio de um carregador chamado BH_A006, que já foi utilizado anteriormente por um grupo de ameaça chinês suspeito conhecido como Space Pirates, com histórico de ataques a entidades russas.

No entanto, não está claro se essa sobreposição ocorre porque o BH_A006 é um malware comercial ou se é evidência de um fornecedor digital que supervisiona um grupo centralizado de ferramentas e técnicas entre os hackers chineses.

O orquestrador LightSpy, uma vez iniciado, usa WebSocket e HTTPS para comunicação e exfiltração de dados, respectivamente, e utiliza até oito plugins para gravar a webcam, iniciar um shell remoto para executar comandos, e coletar áudio, dados de navegadores, arquivos, teclas pressionadas, capturas de tela e uma lista de softwares instalados.

LightSpy e DEEPDATA compartilham várias sobreposições de código e infraestrutura, sugerindo que as duas famílias de malware provavelmente são obra de uma empresa privada encarregada de desenvolver ferramentas de hacking para operadores governamentais, como evidenciado por empresas como Chengdu 404 e I-Soon.

"BrazenBamboo é um hacker bem financiado que mantém capacidades mult-plataforma com longevidade operacional," concluiu a Volexity. "A amplitude e maturidade de suas capacidades indicam tanto uma função de desenvolvimento capaz quanto requisitos operacionais que impulsionam a produção de desenvolvimento."

Via - THN