CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Malware-ul DEEPDATA exploatează o vulnerabilitate Fortinet

18 noiembrie 2024

Sursă: https://thehackernews.com

Un atacator cunoscut sub numele de BrazenBamboo a exploatat o vulnerabilitate de securitate neremediată în FortiClient pentru Windows al Fortinet pentru a obține credențiale VPN ca parte a unui framework modular numit DEEPDATA.

Un specialist în securitate a semnalat că a identificat exploatarea zero-day a vulnerabilității de divulgare a credențialelor în iulie 2024, descriind BrazenBamboo ca fiind dezvoltatorul din spatele DEEPDATA, DEEPPOST și LightSpy.

DEEPDATA este un instrument modular de post-exploatare pentru sistemul de operare Windows care este utilizat pentru a colecta o gamă largă de informații de pe dispozitivele țintă, au semnalat specialiștii în securitate cibernetică.

Componenta de bază a DEEPDATA este un loader DLL (dynamic-link library) denumit data.dll, care este conceput pentru a decripta și lansa 12 plugin-uri diferite utilizând un modul orchestrator (frame.dll). Printre aceste plugin-uri se află un DLL FortiClient nedocumentată anterior, care poate captura credențiale VPN.

S-a constatat că acest plugin exploatează o vulnerabilitate de tip zero-day în clientul Fortinet VPN pe Windows care îi permite să extragă credențialele utilizatorului din memoria procesului clientului, au declarat specialiștii.

Un alt instrument care face parte din portofoliul de programe malware al BrazenBamboo este DEEPPOST, un instrument de exfiltrare a datelor post-exploatare care este capabil să exfiltreze fișiere către un punct final de la distanță.

DEEPDATA și DEEPPOST se adaugă la capacitățile deja puternice de spionaj cibernetic ale atacatorului, extinzându-se pe LightSpy, care vine în diferite variante pentru macOS, iOS și acum Windows.

Odată lansat, orchestratorul LightSpy utilizează WebSocket și HTTPS pentru comunicare, respectiv pentru exfiltrarea datelor, și utilizează până la 8 plugin-uri pentru a înregistra webcam-ul, a lansa un shell de la distanță pentru a executa comenzi și a colecta date audio, date din browser, fișiere, click-uri, capturi de ecran și o listă a software-ului instalat.

BrazenBamboo este un atacator bine dotat cu resurse care menține capacități multiplatformă cu longevitate operațională, a semnalat un specialist în securitate.

Sursă: https://thehackernews.com/2024/11/warning-deepdata-malware-exploiting.html

Ai mai putea citi

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

27 februarie 2026

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |