Un actor de amenazas conocido como DescaradoBambú ha explotado una falla de seguridad no resuelta en FortiClient para Windows de Fortinet para extraer credenciales de VPN como parte de un marco modular llamado DATOS PROFUNDO.
Volexity, que reveló los hallazgos el viernes, dijo que identificó la explotación de día cero de la vulnerabilidad de divulgación de credenciales en julio de 2024, y describió a BrazenBamboo como el desarrollador detrás de DEEPDATA, DEEPPOST y LightSpy.
“DEEPDATA es una herramienta modular post-explotación para el sistema operativo Windows que se utiliza para recopilar una amplia gama de información de los dispositivos objetivo”, dijeron el viernes los investigadores de seguridad Callum Roxan, Charlie Gardner y Paul Rascagneres.
El malware salió a la luz por primera vez a principios de esta semana, cuando BlackBerry detalló el marco de vigilancia basado en Windows utilizado por el actor de amenazas APT41 vinculado a China para recopilar datos de WhatsApp, Telegram, Signal, WeChat, LINE, QQ, Skype, Microsoft Outlook, DingDing, Feishu, KeePass, así como contraseñas de aplicaciones, información del navegador web, puntos de acceso Wi-Fi y software instalado.
“Desde el desarrollo inicial del implante de software espía LightSpy en 2022, el atacante ha estado trabajando persistente y metódicamente en el objetivo estratégico de plataformas de comunicación, con énfasis en el acceso sigiloso y persistente”, señaló el equipo de investigación de amenazas de BlackBerry.
El componente principal de DEEPDATA es un cargador de biblioteca de vínculos dinámicos (DLL) llamado “data.dll” que está diseñado para descifrar y ejecutar 12 complementos diferentes utilizando un módulo orquestador (“frame.dll”). Entre los complementos está presente una DLL “FortiClient” no documentada anteriormente que puede capturar credenciales de VPN.
“Se descubrió que este complemento explota una vulnerabilidad de día cero en el cliente VPN de Fortinet en Windows que le permite extraer las credenciales del usuario de la memoria del proceso del cliente”, dijeron los investigadores.
Volexity dijo que informó la falla a Fortinet el 18 de julio de 2024, pero señaló que la vulnerabilidad aún no se ha corregido. The Hacker News se comunicó con la compañía para hacer comentarios y actualizaremos la historia si recibimos una respuesta.
Otra herramienta que forma parte de la cartera de malware de BrazenBamboo es DEEPPOST, una herramienta de exfiltración de datos posterior a la explotación que es capaz de exfiltrar archivos a un punto final remoto.
DEEPDATA y DEEPPOST se suman a las ya poderosas capacidades de ciberespionaje del actor de amenazas, ampliando LightSpy, que viene en diferentes versiones para macOS, iOS y ahora Windows.
“La arquitectura de la variante de LightSpy para Windows es diferente de otras variantes del sistema operativo documentadas”, dijo Volexity. “Esta variante es implementada por un instalador que implementa una biblioteca para ejecutar shellcode en la memoria. El shellcode descarga y decodifica el componente orquestador desde el servidor (comando y control)”.
El orquestador se ejecuta mediante un cargador llamado BH_A006, que ya había sido utilizado anteriormente por un presunto grupo de amenazas chino conocido como Space Pirates, que tiene un historial de apuntar a entidades rusas.
Dicho esto, actualmente no está claro si esta superposición se debe a si BH_A006 es un malware disponible comercialmente o es evidencia de un intendente digital responsable de supervisar un conjunto centralizado de herramientas y técnicas entre los actores de amenazas chinos.
El orquestador LightSpy, una vez iniciado, utiliza WebSocket y HTTPS para la comunicación para la exfiltración de datos, respectivamente, y aprovecha hasta ocho complementos para grabar la cámara web, iniciar un shell remoto para ejecutar comandos y recopilar audio, datos del navegador, archivos, pulsaciones de teclas y pantalla. capturas y una lista del software instalado.
LightSpy y DEEPDATA comparten varias superposiciones a nivel de código e infraestructura, lo que sugiere que las dos familias de malware probablemente sean obra de una empresa privada a la que se le ha encomendado la tarea de desarrollar herramientas de piratería para operadores gubernamentales, como lo demuestran empresas como Chengdu 404 e I-Soon. .
“BrazenBamboo es un actor de amenazas con buenos recursos que mantiene capacidades multiplataforma con longevidad operativa”, concluyó Volexity. “La amplitud y madurez de sus capacidades indica tanto una función de desarrollo capaz como requisitos operativos que impulsan el resultado del desarrollo”.