Aktor ancaman yang dikenal sebagai Bambu Kurang ajar telah mengeksploitasi kelemahan keamanan yang belum terselesaikan di FortiClient untuk Windows Fortinet untuk mengekstrak kredensial VPN sebagai bagian dari kerangka kerja modular yang disebut DATA DALAM.
Volexity, yang mengungkapkan temuannya pada hari Jumat, mengatakan pihaknya mengidentifikasi eksploitasi zero-day dari kerentanan pengungkapan kredensial pada Juli 2024, menggambarkan BrazenBamboo sebagai pengembang di balik DEEPDATA, DEEPPOST, dan LightSpy.
“DEEPDATA adalah alat pasca-eksploitasi modular untuk sistem operasi Windows yang digunakan untuk mengumpulkan berbagai informasi dari perangkat target,” kata peneliti keamanan Callum Roxan, Charlie Gardner, dan Paul Rascagneres, Jumat.
Malware ini pertama kali terungkap awal pekan ini, ketika BlackBerry merinci kerangka pengawasan berbasis Windows yang digunakan oleh aktor ancaman APT41 yang terkait dengan Tiongkok untuk mengambil data dari WhatsApp, Telegram, Signal, WeChat, LINE, QQ, Skype, Microsoft Outlook, DingDing, Feishu, KeePass, serta kata sandi aplikasi, informasi browser web, hotspot Wi-Fi, dan perangkat lunak yang diinstal.
“Sejak pengembangan awal implan spyware LightSpy pada tahun 2022, penyerang telah bekerja secara gigih dan metodis pada penargetan strategis platform komunikasi, dengan penekanan pada akses diam-diam dan terus-menerus,” tim peneliti ancaman BlackBerry mencatat.
Komponen inti DEEPDATA adalah pemuat perpustakaan tautan dinamis (DLL) yang disebut “data.dll” yang dirancang untuk mendekripsi dan meluncurkan 12 plugin berbeda menggunakan modul orkestrator (“frame.dll”). Hadir di antara plugin adalah DLL “FortiClient” yang sebelumnya tidak berdokumen yang dapat menangkap kredensial VPN.
“Plugin ini ditemukan mengeksploitasi kerentanan zero-day di klien Fortinet VPN di Windows yang memungkinkannya mengekstrak kredensial pengguna dari memori proses klien,” kata para peneliti.
Volexity mengatakan pihaknya melaporkan kelemahan tersebut ke Fortinet pada 18 Juli 2024, tetapi mencatat bahwa kerentanan tersebut masih belum diperbaiki. The Hacker News telah menghubungi perusahaan tersebut untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.
Alat lain yang merupakan bagian dari portofolio malware BrazenBamboo adalah DEEPPOST, alat eksfiltrasi data pasca-eksploitasi yang mampu mengeksfiltrasi file ke titik akhir jarak jauh.
DEEPDATA dan DEEPPOST menambah kemampuan spionase siber yang sudah kuat dari pelaku ancaman, memperluas LightSpy, yang hadir dalam varian berbeda untuk macOS, iOS, dan kini Windows.
“Arsitektur untuk varian Windows LightSpy berbeda dari varian OS lain yang terdokumentasi,” kata Volexity. “Varian ini diterapkan oleh penginstal yang menyebarkan perpustakaan untuk mengeksekusi shellcode di memori. Shellcode mengunduh dan mendekode komponen orkestrator dari [command-and-control] pelayan.”
Orkestra dieksekusi melalui loader yang disebut BH_A006, yang sebelumnya telah digunakan oleh kelompok ancaman Tiongkok yang disebut sebagai Space Pirates, yang memiliki sejarah menargetkan entitas Rusia.
Meskipun demikian, saat ini belum jelas apakah tumpang tindih ini disebabkan oleh apakah BH_A006 merupakan malware yang tersedia secara komersial atau merupakan bukti dari quartermaster digital yang bertanggung jawab mengawasi kumpulan alat dan teknik terpusat di antara pelaku ancaman Tiongkok.
Orkestra LightSpy, setelah diluncurkan, masing-masing menggunakan WebSocket dan HTTPS untuk komunikasi eksfiltrasi data, dan memanfaatkan delapan plugin untuk merekam webcam, meluncurkan shell jarak jauh untuk menjalankan perintah, dan mengumpulkan audio, data browser, file, penekanan tombol, layar tangkapan, dan daftar perangkat lunak yang diinstal.
LightSpy dan DEEPDATA memiliki beberapa kesamaan kode dan tingkat infrastruktur yang tumpang tindih, sehingga menunjukkan bahwa kedua keluarga malware tersebut kemungkinan besar merupakan karya perusahaan swasta yang ditugaskan untuk mengembangkan alat peretasan untuk operator pemerintah, sebagaimana dibuktikan oleh perusahaan seperti Chengdu 404 dan I-Soon. .
“BrazenBamboo adalah aktor ancaman dengan sumber daya yang baik yang mempertahankan kemampuan multi-platform dengan umur operasional yang panjang,” tutup Volexity. “Luasnya dan kematangan kemampuan mereka menunjukkan fungsi pembangunan yang mumpuni dan persyaratan operasional yang mendorong keluaran pembangunan.”