.
Bisbilhoteiros ligados ao governo chinês estão explorando um bug de dia zero no cliente VPN do Windows da Fortinet para roubar credenciais e outras informações, de acordo com a Volexity, empresa de análise forense de memória.
A equipe de inteligência de ameaças da Volexity relatou a vulnerabilidade de dia zero à Fortinet em 18 de julho, após identificar sua exploração na natureza. A Fortinet reconheceu o problema em 24 de julho, de acordo com um relatório de 15 de novembro de Callum Roxan, Charlie Gardner e Paul Rascagneres do fornecedor.
“No momento em que este artigo foi escrito, este problema continua sem solução e a Volexity não tem conhecimento de um número CVE atribuído”, escreveu o trio.
Fortinet não respondeu a O Registrosobre uma correção para a falha e se o fornecedor está ciente de alguém explorando a vulnerabilidade. Atualizaremos esta história se a Fortinet responder.
De acordo com a Volexity, no entanto, uma equipe apoiada por Pequim que é rastreada como “BrazenBamboo” tem explorado a falha da Fortinet e também desenvolveu uma ferramenta pós-exploração para Windows chamada “DeepData”. Este é um malware modular que, entre outros recursos, pode extrair credenciais da memória do processo do cliente VPN FortiClient.
A Volexity encontrou o dia zero da Fortinet em julho, enquanto analisava uma nova amostra do DeepData que possui pelo menos 12 plug-ins exclusivos que os invasores podem usar para todos os tipos de atividades criminosas após infectar as máquinas das vítimas. Isso inclui o plugin FortiClient que rouba credenciais da memória dos processos VPN do FortiClient.
Alguns dos outros plug-ins DeepData podem ser usados para roubar credenciais de 18 outras fontes no dispositivo comprometido. O malware também pode:
- Colete dados do WeChat, WhatsApp e Signal;
- Gravar áudio; coletar contatos e e-mails de instâncias locais do Microsoft Outlook
- Roubar mensagens e dados de aplicativos WeChat, Line, QQ, DingDing, Skype, Telegram e Feishu;
- Colete histórico, cookies e senhas dos navegadores Firefox, Chrome, Opera e Edge.
“O plugin FortiClient procura nome de usuário, senha, gateway remoto e porta de dois objetos JSON diferentes na memória”, escreveram os caçadores de ameaças do Veloxity, observando que isso é semelhante a um bug anterior documentado em 2016.
A nova vulnerabilidade, segundo nos disseram, ocorre porque a Fortinet não limpa credenciais e outros dados confidenciais da memória após a autenticação do usuário. Afeta apenas versões recentes do cliente VPN Fortinet, incluindo a mais recente, v7.4.0.
A BrazenBamboo também desenvolveu o DeepPost, uma ferramenta usada para roubar arquivos de sistemas comprometidos.
O grupo supostamente também trabalhou no LightSpy, uma família de malware que não é nova, detectada pela primeira vez em 2020 pela Kaspersky e pela Trend Micro.
A Volexity acredita que a BrazenBamboo desenvolveu uma nova versão do LightSpy para Windows que, ao contrário da variante macOS, é executada principalmente na memória. O malware inclui plug-ins para gravar pressionamentos de tecla, áudio e vídeo; coletar cookies, credenciais armazenadas e detalhes sobre software e serviços instalados; e fornecer um shell remoto para o invasor manter o acesso e executar comandos.
“Os carimbos de data e hora associados às cargas úteis mais recentes para DEEPDATA e LIGHTSPY são evidências de que ambas as famílias de malware continuam a ser desenvolvidas”, escreveu a equipe da Volexity.
Até e a menos que a Fortinet emita uma correção, é recomendado que as organizações usem essas regras para detectar atividades potencialmente maliciosas e bloquear esses indicadores de comprometimento (IOCs). ®
.
