Vulnerabilidade no FortiClient
18 de Novembro de 2024

Um agente de ameaças conhecido como BrazenBamboo explorou uma falha de segurança não resolvida no FortiClient da Fortinet para Windows, a fim de extrair credenciais de VPN como parte de um framework modular chamado DEEPDATA.

A Volexity, que divulgou as descobertas na sexta-feira, disse que identificou a exploração do zero-day da vulnerabilidade de divulgação de credenciais em julho de 2024, descrevendo BrazenBamboo como o desenvolvedor por trás de DEEPDATA, DEEPPOST e LightSpy.

"DEEPDATA é uma ferramenta pós-exploração modular para o sistema operacional Windows que é usada para coletar uma ampla gama de informações de dispositivos alvo," os pesquisadores de segurança Callum Roxan, Charlie Gardner e Paul Rascagneres disseram na sexta-feira.

O malware veio à tona no início desta semana, quando a BlackBerry detalhou o framework de vigilância baseado em Windows como usado pelo ator de ameaças APT41, vinculado à China, para colher dados do WhatsApp, Telegram, Signal, WeChat, LINE, QQ, Skype, Microsoft Outlook, DingDing, Feishu, KeePass, além de senhas de aplicativos, informações do navegador da web, hotspots Wi-Fi e software instalado.

"Desde o desenvolvimento inicial do implante de spyware LightSpy em 2022, o atacante tem trabalhado de forma persistente e metodológica no alvo estratégico de plataformas de comunicação, com ênfase em acesso furtivo e persistente," a equipe de pesquisa de ameaças da BlackBerry observou.

O componente central do DEEPDATA é um loader de biblioteca de link dinâmico (DLL) chamado "data.dll" que é projetado para decifrar e lançar 12 diferentes plugins usando um módulo orquestrador ("frame.dll").

Entre os plugins está um "FortiClient" DLL não documentado anteriormente que pode capturar credenciais de VPN.

"Esse plugin foi encontrado para explorar uma vulnerabilidade zero-day no cliente VPN da Fortinet no Windows que permite extrair as credenciais do usuário da memória do processo do cliente," os pesquisadores disseram.

A Volexity disse que reportou a falha à Fortinet em 18 de julho de 2024, mas observou que a vulnerabilidade permanece sem correção.

Outra ferramenta que faz parte do portfólio de malware do BrazenBamboo é o DEEPPOST, uma ferramenta de exfiltração de dados pós-exploração que é capaz de exfiltrar arquivos para um endpoint remoto.

DEEPDATA e DEEPPOST adicionam às capacidades de espionagem cibernética do ator de ameaças, expandindo o LightSpy, que vem em diferentes variações para macOS, iOS e agora Windows.

"A arquitetura para a variante Windows do LightSpy é diferente das outras variantes de OS documentadas," a Volexity disse.

Esta variante é implantada por um instalador que implanta uma biblioteca para executar shellcode na memória. O shellcode baixa e decodifica o componente orquestrador do servidor [command-and-control].

O orquestrador é executado por meio de um loader chamado BH_A006, que foi usado anteriormente já por um suposto grupo de ameaças chinês referido como Space Pirates, que tem um histórico de alvos russos.

Dito isso, atualmente não está claro se essa sobreposição ocorre porque BH_A006 é um malware comercialmente disponível ou é evidência de um intendente digital responsável por supervisionar um pool centralizado de ferramentas e técnicas entre atores de ameaças chineses.

O orquestrador do LightSpy, uma vez lançado, usa WebSocket e HTTPS para comunicação para exfiltração de dados, respectivamente, e aproveita até oito plugins para gravar webcam, lançar um shell remoto para executar comandos e coletar áudio, dados do navegador, arquivos, keystrokes, capturas de tela e uma lista de softwares instalados.

LightSpy e DEEPDATA compartilham várias sobreposições de código e infraestrutura, sugerindo que as duas famílias de malware são provavelmente obra de uma empresa privada que foi encarregada de desenvolver ferramentas de hacking para operadores governamentais, como evidenciado por empresas como Chengdu 404 e I-Soon.

"BrazenBamboo é um ator de ameaças bem-resourced que mantém capacidades multiplataforma com longevidade operacional," a Volexity concluiu.

A amplitude e maturidade de suas capacidades indicam tanto uma função de desenvolvimento capaz quanto requisitos operacionais impulsionando a produção de saída.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...