Logiciel malveillant DEEPDATA

Un acteur malveillant opérant sous le pseudonyme BrazenBamboo a exploité une vulnérabilité non corrigée dans FortiClient pour Windows de Fortinet pour récupérer des identifiants VPN. Cette activité fait partie d'un cadre modulaire sophistiqué appelé DEEPDATA.

Les chercheurs analysant cette campagne ont découvert l'exploitation de la vulnérabilité de divulgation d'informations d'identification zero-day en juillet 2024. Ils ont attribué le développement de DEEPDATA, DEEPPOST et LightSpy à BrazenBamboo.

Qu'est-ce que le malware DEEPDATA

DEEPDATA est un outil modulaire de post-exploitation conçu pour le système d'exploitation Windows, capable de collecter des informations détaillées à partir d'appareils compromis. Il a été initialement mis en évidence lorsque des spécialistes de la cybersécurité ont analysé le cadre de surveillance basé sur Windows, le reliant à l'acteur de la menace APT41 associé à la Chine. DEEPDATA a été utilisé pour extraire des données de plateformes de communication telles que WhatsApp, Telegram, Signal, WeChat, LINE, QQ et Skype, ainsi que Microsoft Outlook, DingDing, Feishu, KeePass, des identifiants d'application, des données de navigateur, des réseaux Wi-Fi et des logiciels installés.

Au cœur de DEEPDATA se trouve un chargeur de bibliothèque de liens dynamiques (DLL) appelé data.dll, conçu pour décrypter et déployer 12 plugins distincts via un module orchestrateur nommé frame.dll. Parmi ces plugins se trouve une DLL FortiClient nouvellement identifiée, capable de collecter les informations d'identification VPN.

Ce plugin exploite une vulnérabilité zero-day non corrigée dans le client VPN Fortinet pour Windows. En exploitant cette faille, il récupère les identifiants de l'utilisateur directement depuis la mémoire du processus du client.

Autres menaces dangereuses faisant partie de l'arsenal de BrazenBamboo

Depuis la création de l'implant de logiciel espion LightSpy en 2022, l'attaquant s'est constamment concentré sur le ciblage stratégique des plateformes de communication, en privilégiant la furtivité et l'accès durable. La version Windows de LightSpy diffère des autres variantes du système d'exploitation par son architecture. Elle est déployée via un installateur qui charge une bibliothèque pour exécuter du shellcode en mémoire. Ce shellcode télécharge et décode ensuite le composant orchestrateur à partir du serveur de commande et de contrôle. L'orchestrateur est activé par un chargeur appelé BH_A006, qui a déjà été associé au groupe de menace chinois présumé « Space Pirates », connu pour cibler les organisations russes.

Un autre outil de l'arsenal de logiciels malveillants de BrazenBamboo est DEEPPOST, un outil d'exfiltration de données post-exploitation capable d'envoyer des fichiers à un point de terminaison distant. Ensemble, DEEPDATA et DEEPPOST améliorent considérablement les capacités de cyberespionnage de l'acteur de la menace, en s'appuyant sur le travail antérieur avec LightSpy, qui cible désormais macOS, iOS et Windows.

Il existe des similitudes notables au niveau du code et de l'infrastructure entre LightSpy et DEEPDATA, ce qui indique que les deux familles de logiciels malveillants sont probablement développées par la même entreprise privée, potentiellement chargée de créer des outils de piratage à usage gouvernemental.