Atores de ameaças chineses utilizam um toolkit de pós-exploração personalizado chamado 'DeepData' para explorar uma vulnerabilidade zero-day no cliente VPN Windows da Fortinet, o FortiClient, de forma a roubar credenciais.
A zero-day permite aos atores de ameaças extrair as credenciais da memória após o usuário se autenticar com o dispositivo VPN.
Pesquisadores da Volexity relatam que descobriram essa falha no início deste verão e reportaram-na à Fortinet, mas o problema permanece sem solução, e nenhum número CVE foi atribuído a ela.
"A Volexity reportou essa vulnerabilidade à Fortinet em 18 de julho de 2024, e a Fortinet reconheceu o problema em 24 de julho de 2024", explica o relatório.
No momento deste relatório, essa questão permanece sem resolução e a Volexity não tem conhecimento de um número CVE atribuído.
Os ataques são conduzidos por hackers chineses chamados "BrazenBamboo", conhecidos por desenvolver e implantar famílias de malware avançadas que visam sistemas Windows, macOS, iOS e Android em operações de vigilância.
A Volexity explica que os atores de ameaças utilizam numerosos malwares como parte de seus ataques, incluindo os malwares LightSpy e DeepPost.
LightSpy é um spyware multiplataforma para coleta de dados, keylogging, roubo de credenciais de navegador e monitoramento de comunicações.
O malware DeepPost é usado para roubar dados de dispositivos comprometidos.
O relatório da Volexity foca no DeepData, uma ferramenta modular de pós-exploração para Windows, que emprega múltiplos plugins para roubo de dados específicos.
Sua última versão, avistada no último verão, DeepData inclui um plugin FortiClient que explora uma vulnerabilidade zero-day no produto para extrair credenciais (nomes de usuário, senhas) e informações de servidor VPN.
O DeepData localiza e descriptografa objetos JSON na memória do processo do FortiClient onde as credenciais persistem e as exfiltra para o servidor do atacante usando o DeepPost.
Ao comprometer contas VPN, o BrazenBamboo pode obter acesso inicial a redes corporativas, onde então podem se espalhar lateralmente, obter acesso a sistemas sensíveis e, de modo geral, expandir campanhas de espionagem.
A Volexity descobriu que o DeepData aproveita o zero-day no FortiClient em meados de julho de 2024 e encontrou que é similar a uma falha de 2016 (também sem um CVE), onde offsets de memória hardcoded expuseram credenciais.
Entretanto, a vulnerabilidade de 2024 é nova e distinta e funciona apenas nas versões mais recentes, incluindo a última, v7.4.0, indicando que provavelmente está vinculada a mudanças recentes no software.
A Volexity explica que o problema é a falha do FortiClient em limpar informações sensíveis de sua memória, incluindo nome de usuário, senha, gateway VPN e porta, que permanecem em objetos JSON na memória.
Até que a Fortinet confirme a falha e libere um patch de correção, recomenda-se restringir o acesso VPN e monitorar por atividades de login incomuns.
Indicadores de comprometimento associados à última campanha do BrazenBamboo estão disponíveis aqui.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...