中国のハッカーがFortinetのゼロデイを悪用してVPN認証情報を収集

Volexityのサイバーセキュリティ研究者は最近、中国の国家関連の脅威アクターがFortinetのWindows VPNクライアント、FortiClientの未修正のゼロデイ脆弱性を悪用して、メモリから直接機密VPN認証情報を盗んだと報告しました。

‘BrazenBamboo’、疑われる中国の国家支援の脅威アクターは、認証情報を抽出し、音声を録音し、さまざまなアプリから情報を収集できるWindowsオペレーティングシステム用のモジュラーなポストエクスプロイトマルウェア‘DEEPDATA’の開発に帰属しています。

Volexityはまた、BrazenBambooをLIGHTSPYやDEEPPOSTなどの他のマルウェアファミリーの開発者として追跡しています。ただし、同社は、これらを利用するオペレーターに必ずしも関連付けるわけではなく、複数のユーザーが存在する可能性があると付け加えました。

DEEPDATAマルウェアファミリーの分析中、セキュリティ研究者は、マルウェアの専門的なFortiClientプラグインが、FortiClient VPNクライアントのプロセスメモリ内に保存されたユーザー名、パスワード、リモートゲートウェイ、ポートなどの機密認証情報を抽出することによって脆弱性を悪用したことを発見しました。

サイバーセキュリティ専門家によると、DEEPDATAフレームワークは、プラグイン実行のためのオーケストレーターである“frame.dll”を介して最大12のユニークなプラグインを復号化して実行するように設計されたコアダイナミックリンクライブラリ（DLL）コンポーネント“data.dll”に依存しています。

これらのプラグインの中には、FortiClient VPNプロセスのプロセスメモリから認証情報とサーバー情報を抽出できる新たに特定された“FortiClient” DLLがあります。

“Volexityは、FortiClientプラグインがmsenvico.dllというファイル名のライブラリを介して含まれていることを発見しました。このプラグインは、クライアントのプロセスのメモリからユーザーの認証情報を抽出できるFortinet VPNクライアントのゼロデイ脆弱性を悪用することが判明しました。”と、セキュリティ研究者のCallum Roxan、Charlie Gardner、Paul Rascagneresは金曜日の技術ブログ投稿で書いています。

このプラグインによって適用される技術は、2016年に発見された類似の脆弱性に似ており、ハードコーディングされたオフセットに基づいてメモリ内で認証情報が発見される可能性がありました。

しかし、Volexityは、2024年の脆弱性が新しいものであり、欠陥が発見された時点で最新のバージョンであるFortiClientバージョン7.4.0に存在することを確認しました。

サイバーセキュリティ企業は、認証情報漏洩の脆弱性を2024年7月18日にFortinetに報告し、2024年7月24日に認められました。しかし、問題は現在も未修正のままであり、CVEは割り当てられていません。

“Volexityの分析は、BrazenBambooが多くのプラットフォーム機能を維持し、運用の長寿命を持つ十分なリソースを持つ脅威アクターであることを示す証拠を提供します。彼らの能力の幅と成熟度は、開発機能と開発出力を推進する運用要件の両方を示しています。”と、サイバーセキュリティ企業は指摘しています。

DEEPDATAの他に、BrazenBambooはHTTPSを使用してリモートシステムにファイルを送信するためのポストエクスプロイトデータ流出ツールDEEPPOSTも開発しています。

DEEPDATAとDEEPPOST、さらにiOSやWindowsを含む複数のオペレーティングシステムをターゲットにすることが知られているマルチプラットフォームマルウェアファミリーLIGHTSPYは、脅威アクターの高度で強力なサイバー諜報能力と、未修正のシステムや機密ユーザーデータに対するリスクを示しています。

Fortinetが報告された脆弱性を正式に認め、セキュリティパッチを展開するまで、VPNアクセスを制限し、ログイン活動に不正がないか監視することが推奨されます。

Fortinetソリューションに依存する組織は、脆弱性が悪用されると機密認証情報が漏洩する可能性があるため、警戒を続けることが推奨されます。