DEEPDATA-Malware

Ein Bedrohungsakteur, der unter dem Pseudonym BrazenBamboo operiert, hat eine ungepatchte Schwachstelle in Fortinets FortiClient für Windows ausgenutzt, um VPN-Anmeldeinformationen abzugreifen. Diese Aktivität ist Teil eines ausgeklügelten modularen Frameworks namens DEEPDATA.

Forscher, die diese Kampagne analysierten, deckten im Juli 2024 die Ausnutzung der Zero-Day-Sicherheitslücke bei der Offenlegung von Anmeldeinformationen auf. Sie schrieben BrazenBamboo die Entwicklung von DEEPDATA, DEEPPOST und LightSpy zu.

Was ist die DEEPDATA-Malware

DEEPDATA ist ein modulares Post-Exploitation-Tool, das für das Windows-Betriebssystem entwickelt wurde und umfangreiche Informationen von kompromittierten Geräten sammeln kann. Es wurde erstmals bekannt, als Cybersicherheitsspezialisten das Windows-basierte Überwachungsframework analysierten und es mit dem mit China verbundenen Bedrohungsakteur APT41 in Verbindung brachten. DEEPDATA wurde verwendet, um Daten von Kommunikationsplattformen wie WhatsApp, Telegram, Signal, WeChat, LINE, QQ und Skype sowie von Microsoft Outlook, DingDing, Feishu, KeePass, Anwendungsanmeldeinformationen, Browserdaten, Wi-Fi-Netzwerken und installierter Software zu extrahieren.

Das Herzstück von DEEPDATA ist ein Dynamic-Link-Library-Loader (DLL) namens data.dll, der 12 verschiedene Plugins über ein Orchestrator-Modul namens frame.dll entschlüsseln und bereitstellen soll. Zu diesen Plugins gehört eine neu identifizierte FortiClient-DLL, die VPN-Anmeldeinformationen sammeln kann.

Dieses Plugin nutzt eine ungepatchte Zero-Day-Sicherheitslücke im Fortinet VPN-Client für Windows aus. Durch Ausnutzung dieser Schwachstelle ruft es Benutzeranmeldeinformationen direkt aus dem Speicher des Clientprozesses ab.

Andere schädliche Bedrohungen Teil des BrazenBamboo-Arsenals

Seit der Entwicklung des Spyware-Implantats LightSpy im Jahr 2022 hat sich der Angreifer konsequent darauf konzentriert, Kommunikationsplattformen strategisch anzugreifen, wobei er Tarnung und dauerhaften Zugriff priorisiert. Die Windows-Version von LightSpy unterscheidet sich in ihrer Architektur von anderen Betriebssystemvarianten. Sie wird über ein Installationsprogramm bereitgestellt, das eine Bibliothek lädt, um Shellcode im Speicher auszuführen. Dieser Shellcode lädt dann die Orchestrator-Komponente vom Command-and-Control-Server herunter und dekodiert sie. Der Orchestrator wird durch einen Loader namens BH_A006 aktiviert, der zuvor mit der mutmaßlichen chinesischen Bedrohungsgruppe „Space Pirates“ in Verbindung gebracht wurde, die dafür bekannt ist, russische Organisationen ins Visier zu nehmen.

Ein weiteres Tool im Malware-Arsenal von BrazenBamboo ist DEEPPOST, ein Post-Exploitation-Tool zur Datenexfiltration, mit dem Dateien an einen Remote-Endpunkt gesendet werden können. Zusammen verbessern DEEPDATA und DEEPPOST die Cyber-Spionage-Fähigkeiten des Bedrohungsakteurs erheblich und bauen auf der früheren Arbeit mit LightSpy auf, das jetzt auf macOS, iOS und Windows abzielt.

Zwischen LightSpy und DEEPDATA bestehen bemerkenswerte Ähnlichkeiten im Code und in der Infrastruktur. Dies deutet darauf hin, dass beide Malware-Familien wahrscheinlich vom selben privaten Unternehmen entwickelt wurden, das möglicherweise mit der Erstellung von Hacking-Tools für staatliche Zwecke beauftragt wurde.