Группа BrazenBamboo, ассоциируемая с Китаем, развернула сложную кибершпионскую кампанию, используя уязвимость нулевого дня в программном обеспечении Fortinet FortiClient VPN для Windows. Эта уязвимость позволяет злоумышленникам извлекать учетные данные VPN из памяти процессов клиента и остается неустраненной даже спустя несколько месяцев после обнаружения.
Уязвимость, выявленная в июле 2024 года, затрагивает последнюю версию FortiClient (v7.4.0) на момент обнаружения. BrazenBamboo использует эту уязвимость в рамках атаки с применением модульного вредоносного программного обеспечения DEEPDATA.
Как работает DEEPDATA
DEEPDATA — это многофункциональная платформа для кибершпионажа, состоящая из загрузчика (data.dll) и множества плагинов, которые позволяют собирать конфиденциальную информацию с зараженных устройств.
Особое внимание вызывает плагин “msenvico.dll”, который используется для эксплуатации уязвимости в FortiClient. Этот плагин извлекает имена пользователей, пароли, адреса удаленных шлюзов и порты, хранящиеся в JSON-объектах в памяти VPN-клиента.
Помимо кражи учетных данных, DEEPDATA может собирать данные из мессенджеров, браузеров и почтовых клиентов, записывать аудио, фиксировать нажатия клавиш и выгружать файлы с зараженных устройств.
Вредоносные элементы DEEPDATA включают следующее:
Filename | Description |
data.dll | DEEPDATA Loader |
mod.dat | DEEPDATA Virtual File System (VFS) |
readme.txt | File containing DEEPDATA Execution Options |
Архитектура DEEPDATA:
Сравнение с предыдущими атаками
Эксплуатация уязвимости в FortiClient напоминает атаку 2016 года, когда была выявлена схожая проблема в более старых версиях программы. Однако текущий эксплойт затрагивает новейшие версии и демонстрирует эволюцию тактики APT-групп.
Инфраструктура BrazenBamboo
Исследование, проведенное компанией Volexity, показало, что BrazenBamboo располагает развитой инфраструктурой для управления атаками. Группа использует несколько серверов для размещения вредоносного ПО и управления командно-контрольными операциями (C2).
Эксперты Volexity с умеренной уверенностью предполагают, что BrazenBamboo представляет собой частное предприятие, работающее на государственные структуры, ориентированные на внутренние цели. Такое заключение сделано на основе языковых особенностей в C2-инфраструктуре, архитектурных решений в разработке вредоносного ПО и устойчивости операций группы даже после публичного разоблачения.
Реакция Fortinet и текущий статус
Компания Volexity сообщила об уязвимости Fortinet 18 июля 2024 года. Спустя неделю, 24 июля, Fortinet признала проблему. Однако, по состоянию на ноябрь 2024 года, уязвимость не устранена, и ей не был присвоен номер CVE.
Рекомендации для организаций
Инцидент с BrazenBamboo подчеркивает необходимость оперативного реагирования на угрозы нулевого дня и усиленной защиты. Организациям, использующим FortiClient VPN, рекомендуется:
- Регулярно проверять наличие обновлений от Fortinet.
- Внедрять дополнительные меры защиты для предотвращения утечек учетных данных.
- Контролировать подозрительную активность в системах, связанную с использованием плагинов или процессов FortiClient.
BrazenBamboo демонстрирует, насколько опасны хорошо организованные группы APT, способные эксплуатировать уязвимости в популярных продуктах. В условиях эволюционирующей киберугрозы специалисты по информационной безопасности должны оставаться начеку, чтобы своевременно реагировать на такие атаки и минимизировать возможные последствия.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Пётр Ильин — главный редактор проекта vpnРоссия, эксперт с более чем 10-летним опытом в области кибербезопасности и технологий VPN. Он руководит редакционной командой, обеспечивая высокое качество и объективность обзоров ВПН-сервисов. Петр активно просвещает аудиторию о важности приватности в интернете и безопасности данных, а также пишет образовательные материалы на доступном языке.