Перейти к содержимому
vpnРоссия > News > Новости > BrazenBamboo скомпрометировал логины VPN через DEEPDATA

BrazenBamboo скомпрометировал логины VPN через DEEPDATA

кража логинов VPN через DEEPDATA

Группа BrazenBamboo, ассоциируемая с Китаем, развернула сложную кибершпионскую кампанию, используя уязвимость нулевого дня в программном обеспечении Fortinet FortiClient VPN для Windows. Эта уязвимость позволяет злоумышленникам извлекать учетные данные VPN из памяти процессов клиента и остается неустраненной даже спустя несколько месяцев после обнаружения.

Уязвимость, выявленная в июле 2024 года, затрагивает последнюю версию FortiClient (v7.4.0) на момент обнаружения. BrazenBamboo использует эту уязвимость в рамках атаки с применением модульного вредоносного программного обеспечения DEEPDATA.

Как работает DEEPDATA

DEEPDATA — это многофункциональная платформа для кибершпионажа, состоящая из загрузчика (data.dll) и множества плагинов, которые позволяют собирать конфиденциальную информацию с зараженных устройств.

Особое внимание вызывает плагин “msenvico.dll”, который используется для эксплуатации уязвимости в FortiClient. Этот плагин извлекает имена пользователей, пароли, адреса удаленных шлюзов и порты, хранящиеся в JSON-объектах в памяти VPN-клиента.

Помимо кражи учетных данных, DEEPDATA может собирать данные из мессенджеров, браузеров и почтовых клиентов, записывать аудио, фиксировать нажатия клавиш и выгружать файлы с зараженных устройств.

vpnРоссия

Вредоносные элементы DEEPDATA включают следующее:

FilenameDescription
data.dllDEEPDATA Loader
mod.datDEEPDATA Virtual File System (VFS)
readme.txtFile containing DEEPDATA Execution Options

Архитектура DEEPDATA:

Архитектура  DEEPDATA:
ресурс: volexity.com

Сравнение с предыдущими атаками

Эксплуатация уязвимости в FortiClient напоминает атаку 2016 года, когда была выявлена схожая проблема в более старых версиях программы. Однако текущий эксплойт затрагивает новейшие версии и демонстрирует эволюцию тактики APT-групп.

Инфраструктура BrazenBamboo

Исследование, проведенное компанией Volexity, показало, что BrazenBamboo располагает развитой инфраструктурой для управления атаками. Группа использует несколько серверов для размещения вредоносного ПО и управления командно-контрольными операциями (C2).

Эксперты Volexity с умеренной уверенностью предполагают, что BrazenBamboo представляет собой частное предприятие, работающее на государственные структуры, ориентированные на внутренние цели. Такое заключение сделано на основе языковых особенностей в C2-инфраструктуре, архитектурных решений в разработке вредоносного ПО и устойчивости операций группы даже после публичного разоблачения.

Реакция Fortinet и текущий статус

Компания Volexity сообщила об уязвимости Fortinet 18 июля 2024 года. Спустя неделю, 24 июля, Fortinet признала проблему. Однако, по состоянию на ноябрь 2024 года, уязвимость не устранена, и ей не был присвоен номер CVE.

Рекомендации для организаций

Инцидент с BrazenBamboo подчеркивает необходимость оперативного реагирования на угрозы нулевого дня и усиленной защиты. Организациям, использующим FortiClient VPN, рекомендуется:

  • Регулярно проверять наличие обновлений от Fortinet.
  • Внедрять дополнительные меры защиты для предотвращения утечек учетных данных.
  • Контролировать подозрительную активность в системах, связанную с использованием плагинов или процессов FortiClient.

BrazenBamboo демонстрирует, насколько опасны хорошо организованные группы APT, способные эксплуатировать уязвимости в популярных продуктах. В условиях эволюционирующей киберугрозы специалисты по информационной безопасности должны оставаться начеку, чтобы своевременно реагировать на такие атаки и минимизировать возможные последствия.

vpn russia

Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.

Пётр Ильин — главный редактор проекта vpnРоссия, эксперт с более чем 10-летним опытом в области кибербезопасности и технологий VPN. Он руководит редакционной командой, обеспечивая высокое качество и объективность обзоров ВПН-сервисов. Петр активно просвещает аудиторию о важности приватности в интернете и безопасности данных, а также пишет образовательные материалы на доступном языке.

Оставить комент

Ваш адрес email не будет опубликован. Обязательные поля помечены *