Китайские хакеры используют уязвимость нулевого дня Fortinet для кражи учетных данных VPN

Исследователи в области кибербезопасности из Volexity недавно сообщили, что угроза, связанная с китайским государством, использовала неустраненную уязвимость нулевого дня в клиенте VPN Fortinet для Windows, FortiClient, чтобы украсть конфиденциальные учетные данные VPN непосредственно из памяти.

‘BrazenBamboo’, подозреваемый в том, что он спонсируется государством Китая, приписывается разработке ‘DEEPDATA’, модульного вредоносного ПО для Windows, которое может извлекать учетные данные, записывать аудио и собирать информацию из различных приложений.

Volexity также отслеживает BrazenBamboo как разработчика других семейств вредоносного ПО, таких как LIGHTSPY и DEEPPOST. Однако компания добавила, что это не обязательно связывает их с операторами, использующими их, так как может быть несколько пользователей.

Во время анализа семейства вредоносного ПО DEEPDATA исследователи безопасности обнаружили, что специализированный плагин FortiClient использовал уязвимость, извлекая конфиденциальные учетные данные, такие как имена пользователей, пароли, удаленные шлюзы и порты, хранящиеся в JSON-объектах в процессе памяти клиента VPN FortiClient.

Согласно экспертам по кибербезопасности, фреймворк DEEPDATA зависит от основного компонента динамической библиотеки (DLL) “data.dll”, который предназначен для расшифровки и выполнения до 12 уникальных плагинов через оркестратор для выполнения плагинов под названием “frame.dll”.

Среди этих плагинов есть недавно идентифицированная DLL “FortiClient”, способная извлекать учетные данные и информацию о сервере из памяти процесса FortiClient VPN.

“Volexity обнаружила, что плагин FortiClient был включен через библиотеку с именем файла msenvico.dll. Этот плагин был найден, использующим уязвимость нулевого дня в клиенте VPN Fortinet на Windows, которая позволяет извлекать учетные данные пользователя из памяти процесса клиента,” написали исследователи безопасности Каллум Роксен, Чарли Гарднер и Пол Раскагнерес в техническом блоге в пятницу.

Методы, применяемые этим плагином, напоминают аналогичную уязвимость, обнаруженную в 2016 году, при которой учетные данные могли быть обнаружены в памяти на основе жестко закодированных смещений.

Тем не менее, Volexity подтвердила, что уязвимость 2024 года новая и присутствует в версии FortiClient 7.4.0, которая была последней версией на момент обнаружения недостатка.

Кибербезопасная компания сообщила о уязвимости раскрытия учетных данных Fortinet 18 июля 2024 года, которая была признана 24 июля 2024 года. Однако проблема до сих пор не устранена, и ей не присвоен CVE.

“Анализ Volexity предоставляет доказательства того, что BrazenBamboo является хорошо обеспеченной угрозой, которая поддерживает многофункциональные возможности с долговечностью операций. Широта и зрелость их возможностей указывают как на способную функцию разработки, так и на операционные требования, движущие выходом разработки,” отмечает кибербезопасная компания.

Помимо DEEPDATA, BrazenBamboo также разработала DEEPPOST, инструмент эксфиляции данных после эксплуатации для отправки файлов на удаленную систему с использованием HTTPS.

DEEPDATA и DEEPPOST, наряду с LIGHTSPY, семейством вредоносного ПО для нескольких платформ, известным тем, что нацеливается на несколько операционных систем, включая iOS и Windows, демонстрируют продвинутые и мощные возможности кибершпионажа угрозы и риск, который они представляют для неустраненных систем и конфиденциальных пользовательских данных.

Пока Fortinet официально не признает сообщенную уязвимость и не выпустит патч безопасности, рекомендуется ограничить доступ к VPN и отслеживать активность входа на предмет любых аномалий.

Организациям, полагающимся на решения Fortinet, рекомендуется оставаться бдительными, так как недостаток может подвергнуть риску конфиденциальные учетные данные в случае эксплуатации.