Κάποιοι hackers, γνωστοί ως BrazenBamboo, εκμεταλλεύτηκαν μια ευπάθεια στο FortiClient για Windows της Fortinet και χρησιμοποίησαν το modular framework DEEPDATA, με σκοπό την κλοπή VPN credentials.

Η Volexity είπε ότι εντόπισε την εκμετάλλευση της zero-day ευπάθειας τον Ιούλιο του 2024, περιγράφοντας την ομάδα BrazenBamboo ως τον προγραμματιστή των DEEPDATA, DEEPPOST και LightSpy.
“Το DEEPDATA είναι ένα modular post-exploitation tool για το λειτουργικό σύστημα Windows και χρησιμοποιείται για τη συλλογή ενός ευρέος φάσματος πληροφοριών από συσκευές-στόχους“, δήλωσαν οι ερευνητές ασφαλείας Callum Roxan, Charlie Gardner και Paul Rascagneres.
Δείτε επίσης: LodaRAT malware: Στοχεύει χρήστες Windows και κλέβει credentials
Το κακόβουλο λογισμικό εμφανίστηκε την περασμένη εβδομάδα, όταν η BlackBerry είπε ότι χρησιμοποιείται από την κινεζική ομάδα APT41 για τη συλλογή δεδομένων από WhatsApp, Telegram, Signal, WeChat, LINE, QQ, Skype, Microsoft Outlook, DingDing, Feishu, KeePass. Επίσης, μπορεί να κλέψει κωδικούς πρόσβασης εφαρμογών, πληροφορίες προγράμματος περιήγησης, Wi-Fi hotspots και εγκατεστημένο λογισμικό.
Το βασικό στοιχείο του DEEPDATA είναι ένα dynamic-link library (DLL) loader που ονομάζεται “data.dll”. Έχει σχεδιαστεί για να αποκρυπτογραφεί και να εκκινεί 12 διαφορετικά plugins χρησιμοποιώντας ένα orchestrator module (“frame.dll”). Μεταξύ των plugins υπάρχει ένα DLL “FortiClient” που μπορεί να κλέψει VPN credentials.
“Αυτό το plugin εκμεταλλεύεται μια ευπάθεια zero-day στο Fortinet VPN client στα Windows, που του επιτρέπει να εξάγει τα διαπιστευτήρια“, είπαν οι ερευνητές.
Η Volexity είπε ότι ανέφερε την εν λόγω ευπάθεια στη Fortinet (στις 18 Ιουλίου 2024), αλλά δεν έχει ακόμα διορθωθεί.
Δείτε επίσης: Το Emmenhtal Loader χρησιμοποιεί scripts για τη διάδοση του Lumma και άλλων Malware
Ένα άλλο εργαλείο που χρησιμοποιούν οι hackers BrazenBamboo είναι το DEEPPOST, ένα εργαλείο εξαγωγής δεδομένων, που κλέβει αρχεία σε ένα απομακρυσμένο τελικό σημείο.
Το DEEPDATA και το DEEPPOST ενισχύουν τις ήδη ισχυρές δυνατότητες κυβερνοκατασκοπείας των hackers, επεκτείνοντας το LightSpy, το οποίο στοχεύει macOS, iOS και τώρα Windows.
Το LightSpy και το DEEPDATA μοιράζονται πολλά κοινά στοιχεία σε επίπεδο κώδικα και υποδομής, υποδηλώνοντας ότι οι δύο οικογένειες κακόβουλου λογισμικού είναι πιθανότατα έργο μιας ιδιωτικής επιχείρησης που έχει επιφορτιστεί με την ανάπτυξη εργαλείων hacking για κυβερνητικούς φορείς.

Προστασία από info-stealer malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer.
Δείτε επίσης: Ρώσοι hackers εκμεταλλεύονται ευπάθεια στο NTLM για τη διάδοση RAT Malware μέσω Phishing emails
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: thehackernews.com