引言
一个名为BrazenBamboo的网络威胁行为者利用Fortinet的FortiClient在Windows上的未解决安全漏洞,提取VPN凭证。该攻击是作为一个名为DEEPDATA的模块化框架的一部分进行的。Volexity在周五披露了这一发现,并表示在2024年7月识别了这一零日漏洞的利用,称BrazenBamboo是DEEPDATA、DEEPPOST和LightSpy背后的开发者。
DEEPDATA的功能
DEEPDATA是一个用于Windows操作系统的模块化后期利用工具,旨在从目标设备收集各种信息。Volexity的安全研究人员Callum Roxan、Charlie Gardner和Paul Rascagneres表示,恶意软件在本周早些时候首次被曝光,BlackBerry详细介绍了该Windows基础监控框架,指出其被与中国有关的APT41威胁行为者用于从多个应用程序(如WhatsApp、Telegram、Signal、WeChat、LINE、QQ、Skype、Microsoft Outlook等)中收集数据。
恶意软件的演变
“自2022年初始开发LightSpy间谍软件植入物以来,攻击者一直在持续且系统性地针对通信平台进行战略性攻击,重点关注隐蔽性和持久访问,”BlackBerry威胁研究团队指出。
DEEPDATA的核心组件是一个名为“data.dll”的动态链接库(DLL)加载器,它被设计用来解密和启动12个不同的插件,通过一个编排模块(“frame.dll”)进行管理。其中一个插件是一个之前未记录的“FortiClient” DLL,能够捕获VPN凭证。
漏洞的危害
“该插件被发现利用Fortinet VPN客户端在Windows上的零日漏洞,允许从客户端进程的内存中提取用户凭证,”研究人员表示。Volexity于2024年7月18日向Fortinet报告了该漏洞,但指出该漏洞仍未修补。
BrazenBamboo的工具组合
BrazenBamboo的恶意软件组合中还有另一个工具DEEPPOST,这是一个后期利用数据外泄工具,能够将文件外泄到远程端点。DEEPDATA和DEEPPOST增强了该威胁行为者的网络间谍能力,扩展了LightSpy,该工具现已支持macOS、iOS和Windows。
Volexity指出:“LightSpy的Windows变体架构与其他已记录的操作系统变体不同。该变体是通过一个安装程序部署的,该安装程序部署一个库以在内存中执行shell代码。该shell代码从[命令与控制]服务器下载并解码编排组件。”
未来的威胁
一旦启动,LightSpy编排器使用WebSocket和HTTPS进行通信,以实现数据外泄,并利用多达八个插件来记录网络摄像头、启动远程Shell执行命令,以及收集音频、浏览器数据、文件、按键记录、屏幕捕获和已安装软件列表。LightSpy和DEEPDATA在代码和基础设施层面上共享多个重叠,表明这两种恶意软件家族可能是一个私人企业的作品,该企业负责为政府运营商开发黑客工具,类似于成都404和I-Soon等公司。
结论
Volexity总结道:“BrazenBamboo是一个资源充足的威胁行为者,具备多平台能力并具备长期运营能力。他们能力的广度和成熟度表明了既有强大的开发功能,又有推动开发输出的运营需求。”
如果您觉得这篇文章有趣,请在Twitter和LinkedIn上关注我们,以阅读更多独家内容。