DEEPDATA マルウェア

BrazenBamboo という別名で活動する脅威アクターが、Fortinet の Windows 向け FortiClient の未修正の脆弱性を利用して VPN 認証情報を収集しました。この活動は、DEEPDATA と呼ばれる高度なモジュール フレームワークの一部です。

このキャンペーンを分析した研究者は、2024 年 7 月にゼロデイ認証情報漏洩の脆弱性が悪用されたことを発見しました。研究者らは、DEEPDATA、DEEPPOST、LightSpy の開発は BrazenBamboo によるものだとしています。

DEEPDATAマルウェアとは

DEEPDATA は、Windows オペレーティング システム用に設計されたモジュール式のエクスプロイト後ツールで、侵害されたデバイスから広範な情報を収集できます。サイバー セキュリティの専門家が Windows ベースの監視フレームワークを分析し、中国関連の APT41 脅威アクターと関連付けたときに初めて注目されました。DEEPDATA は、WhatsApp、Telegram、Signal、WeChat、LINE、QQ、Skype などの通信プラットフォーム、Microsoft Outlook、DingDing、Feishu、KeePass、アプリケーション認証情報、ブラウザー データ、Wi-Fi ネットワーク、インストールされたソフトウェアからデータを抽出するために使用されています。

DEEPDATA の中心にあるのは、data.dll と呼ばれるダイナミック リンク ライブラリ (DLL) ローダーです。これは、frame.dll というオーケストレーター モジュールを介して 12 個の異なるプラグインを復号化して展開するように設計されています。これらのプラグインの中には、VPN 資格情報を収集できる、新たに特定された FortiClient DLL があります。

このプラグインは、Windows 用の Fortinet VPN クライアントの未修正のゼロデイ脆弱性を利用します。この欠陥を悪用することで、クライアントのプロセスのメモリからユーザーの資格情報を直接取得します。

その他の有害な脅威はBrazenBambooの武器庫の一部です

2022年にスパイウェアインプラントLightSpyを作成して以来、攻撃者は一貫して通信プラットフォームを戦略的に標的とし、ステルス性と持続的なアクセスを優先してきました。Windows版のLightSpyは、他のOSバリアントとはアーキテクチャが異なります。インストーラーを通じて展開され、ライブラリをロードしてメモリ内でシェルコードを実行します。次に、このシェルコードはコマンドアンドコントロールサーバーからオーケストレーターコンポーネントをダウンロードしてデコードします。オーケストレーターはBH_A006と呼ばれるローダーによって起動されますが、これは以前、ロシアの組織を標的にすることで知られる中国の脅威グループ「Space Pirates」と疑われているグループと関連付けられていました。

BrazenBamboo のマルウェア兵器庫にあるもう 1 つのツールは、リモート エンドポイントにファイルを送信できるエクスプロイト後のデータ抽出ツールである DEEPPOST です。DEEPDATA と DEEPPOST を組み合わせることで、脅威アクターのサイバースパイ活動能力が大幅に強化され、LightSpy との以前の取り組みが強化され、現在は macOS、iOS、Windows をターゲットにしています。

LightSpy と DEEPDATA には注目すべきコードとインフラストラクチャの類似点があり、両方のマルウェア ファミリが同じ民間企業によって開発され、政府機関が使用するハッキング ツールの作成を委託された可能性があることを示しています。