Китайские хакеры используют Fortinet Zero-Day для сбора учетных данных VPN
Исследователи кибербезопасности из Volexity недавно сообщили, что китайская государственная угроза использовала неисправленную уязвимость нулевого дня в VPN-клиенте Fortinet для Windows, FortiClient, для кражи конфиденциальных учетных данных VPN непосредственно из памяти.
«BrazenBamboo», подозреваемому китайскому государственному злоумышленнику, приписывают разработку DEEPDATA, модульного вредоносного ПО для операционной системы Windows, которое может извлекать учетные данные, записывать звук и собирать информацию из различных приложений.
Volexity также отслеживает BrazenBamboo как разработчика других семейств вредоносных программ, таких как LIGHTSPY и DEEPPOST. Однако компания добавила, что она не обязательно связывает их с использующими их операторами, поскольку пользователей может быть несколько.
В ходе анализа семейства вредоносных программ DEEPDATA исследователи безопасности обнаружили, что специализированный плагин FortiClient вредоносного ПО использовал уязвимость, извлекая конфиденциальные учетные данные, такие как имена пользователей, пароли, удаленные шлюзы и порты, хранящиеся в объектах JSON в памяти процесса VPN-клиента FortiClient.
По мнению экспертов по кибербезопасности, платформа DEEPDATA зависит от основного компонента библиотеки динамической компоновки (DLL) «data.dll», который предназначен для расшифровки и выполнения до 12 уникальных плагинов через оркестратор для выполнения плагинов с именем «frame.dll». ».
Среди этих плагинов есть недавно идентифицированная DLL «FortiClient», способная извлекать учетные данные и информацию о сервере из памяти процессов FortiClient VPN.
«Volexity обнаружила, что плагин FortiClient был включен через библиотеку с именем файла msenvico.dll. Было обнаружено, что этот плагин использует уязвимость нулевого дня в клиенте Fortinet VPN для Windows, которая позволяет ему извлекать учетные данные пользователя из памяти клиентского процесса», — исследователи безопасности Каллум Роксан, Чарли Гарднер и Пол Расканерес. написал в техническом блоге в пятницу.
Методы, применяемые этим плагином, напоминают аналогичную уязвимость, обнаруженную в 2016 году, при которой учетные данные могут быть обнаружены в памяти на основе жестко закодированных смещений.
Однако Volexity подтвердила, что уязвимость 2024 года является новой и присутствует в версии FortiClient 7.4.0, которая была последней версией на момент обнаружения уязвимости.
Фирма, занимающаяся кибербезопасностью, сообщила Fortinet об уязвимости раскрытия учетных данных 18 июля 2024 г., что было подтверждено 24 июля 2024 г. Однако на сегодняшний день проблема остается нерешенной, и ей не присвоено никакое CVE.
«Анализ Volexity свидетельствует о том, что BrazenBamboo является хорошо обеспеченным ресурсами субъектом угроз, который поддерживает многоплатформенные возможности и имеет длительный срок службы. Широта и зрелость их возможностей указывают как на эффективную функцию разработки, так и на операционные требования, определяющие результаты разработки», — отмечает фирма по кибербезопасности.
Помимо DEEPDATA, BrazenBamboo также разработала DEEPPOST, инструмент для фильтрации данных после эксплуатации для отправки файлов в удаленную систему с использованием HTTPS.
DEEPDATA и DEEPPOST, а также LIGHTSPY, многоплатформенное семейство вредоносных программ, которые, как известно, нацелены на несколько операционных систем, включая iOS и Windows, демонстрируют расширенные и мощные возможности кибершпионажа злоумышленника, а также риск, связанный с неисправленными системами и конфиденциальными пользовательскими данными.
Пока Fortinet официально не признает обнаруженную уязвимость и не выпустит исправление безопасности, рекомендуется ограничить доступ к VPN и отслеживать активность входа в систему на предмет любых нарушений.
Организациям, которые полагаются на решения Fortinet, рекомендуется сохранять бдительность, поскольку в случае использования уязвимости могут быть раскрыты конфиденциальные учетные данные.