นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Volexity รายงานเมื่อเร็ว ๆ นี้ว่าผู้ดำเนินการภัยคุกคามในเครือรัฐของจีนใช้ประโยชน์จากช่องโหว่แบบ Zero-day ที่ยังไม่ได้แพตช์ในไคลเอนต์ Windows VPN ของ Fortinet นั่นคือ FortiClient เพื่อขโมยข้อมูลรับรอง VPN ที่ละเอียดอ่อนโดยตรงจากหน่วยความจำ
'BrazenBamboo' ผู้ต้องสงสัยเป็นภัยคุกคามที่ได้รับการสนับสนุนจากรัฐจีน มีสาเหตุมาจากการพัฒนา 'DEEPDATA' ซึ่งเป็นมัลแวร์หลังการแสวงหาผลประโยชน์แบบแยกส่วนสำหรับระบบปฏิบัติการ Windows ที่สามารถดึงข้อมูลประจำตัว บันทึกเสียง และรวบรวมข้อมูลจากแอพต่างๆ
Volexity ยังติดตาม BrazenBamboo ในฐานะผู้พัฒนามัลแวร์ตระกูลอื่นๆ เช่น LIGHTSPY และ DEEPPOST อย่างไรก็ตาม บริษัทเสริมว่าไม่จำเป็นต้องเชื่อมโยงพวกเขากับผู้ให้บริการที่ใช้งาน เนื่องจากอาจมีผู้ใช้หลายคน
ในระหว่างการวิเคราะห์กลุ่มมัลแวร์ DEEPDATA นักวิจัยด้านความปลอดภัยพบว่าปลั๊กอิน FortiClient เฉพาะทางของมัลแวร์ใช้ประโยชน์จากช่องโหว่โดยแยกข้อมูลประจำตัวที่ละเอียดอ่อน เช่น ชื่อผู้ใช้ รหัสผ่าน เกตเวย์ระยะไกล และพอร์ตที่จัดเก็บไว้ในออบเจ็กต์ JSON ภายในหน่วยความจำกระบวนการของไคลเอ็นต์ FortiClient VPN
ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ระบุว่า กรอบงาน DEEPDATA ขึ้นอยู่กับส่วนประกอบไดนามิกลิงค์ไลบรารี (DLL) หลัก “data.dll” ซึ่งได้รับการออกแบบมาเพื่อถอดรหัสและดำเนินการปลั๊กอินที่ไม่ซ้ำกันสูงสุด 12 รายการผ่านตัวจัดการสำหรับการเรียกใช้ปลั๊กอินชื่อ “frame.dll” ”
ในบรรดาปลั๊กอินเหล่านี้คือ DLL “FortiClient” ที่ระบุใหม่ ซึ่งสามารถดึงข้อมูลประจำตัวและข้อมูลเซิร์ฟเวอร์จากหน่วยความจำกระบวนการของกระบวนการ FortiClient VPN
“Volexity พบว่าปลั๊กอิน FortiClient ถูกรวมไว้ผ่านไลบรารีที่มีชื่อไฟล์ msenvico.dll พบว่าปลั๊กอินนี้ใช้ประโยชน์จากช่องโหว่แบบ Zero-day ในไคลเอนต์ Fortinet VPN บน Windows ซึ่งช่วยให้สามารถดึงข้อมูลรับรองสำหรับผู้ใช้จากหน่วยความจำของกระบวนการของไคลเอ็นต์” นักวิจัยด้านความปลอดภัย Callum Roxan, Charlie Gardner และ Paul Rascagneresเขียนในบล็อกโพสต์ทางเทคนิคเมื่อวันศุกร์
เทคนิคที่ใช้โดยปลั๊กอินนี้มีลักษณะคล้ายกับช่องโหว่ที่คล้ายกันซึ่งค้นพบในปี 2559 ซึ่งสามารถค้นพบข้อมูลรับรองในหน่วยความจำตามออฟเซ็ตฮาร์ดโค้ด
อย่างไรก็ตาม Volexity ยืนยันว่าช่องโหว่ในปี 2024 เป็นช่องโหว่ใหม่และปรากฏอยู่ใน FortiClient เวอร์ชัน 7.4.0 ซึ่งเป็นเวอร์ชันล่าสุดในขณะที่ค้นพบข้อบกพร่อง
บริษัทรักษาความปลอดภัยทางไซเบอร์รายงานช่องโหว่ในการเปิดเผยข้อมูลประจำตัวให้กับ Fortinet เมื่อวันที่ 18 กรกฎาคม 2024 ซึ่งได้รับการยอมรับเมื่อวันที่ 24 กรกฎาคม 2024 อย่างไรก็ตาม ปัญหาดังกล่าวยังคงไม่ได้รับการอัปเดตจนถึงปัจจุบัน และไม่มีการกำหนด CVE ให้กับช่องโหว่ดังกล่าว
“การวิเคราะห์ของ Volexity เป็นหลักฐานว่า BrazenBamboo เป็นตัวแสดงภัยคุกคามที่มีทรัพยากรเพียงพอ ซึ่งยังคงรักษาความสามารถบนหลายแพลตฟอร์มและมีอายุการใช้งานยาวนาน ความสามารถที่กว้างขวางและครบถ้วนบ่งชี้ทั้งฟังก์ชันการพัฒนาที่มีความสามารถและข้อกำหนดในการปฏิบัติงานที่ขับเคลื่อนผลลัพธ์การพัฒนา” บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุ
นอกจาก DEEPDATA แล้ว BrazenBamboo ยังได้พัฒนา DEEPPOST ซึ่งเป็นเครื่องมือกรองข้อมูลหลังการแสวงหาประโยชน์สำหรับการส่งไฟล์ไปยังระบบระยะไกลโดยใช้ HTTPS
DEEPDATA และ DEEPPOST พร้อมด้วย LIGHTSPY กลุ่มมัลแวร์หลายแพลตฟอร์มที่ทราบกันดีว่ากำหนดเป้าหมายระบบปฏิบัติการหลายระบบ รวมถึง iOS และ Windows แสดงให้เห็นถึงความสามารถในการจารกรรมทางไซเบอร์ขั้นสูงและทรงพลังของผู้ก่อภัยคุกคาม และความเสี่ยงที่เกิดกับระบบที่ไม่ได้รับแพตช์และข้อมูลผู้ใช้ที่ละเอียดอ่อน
จนกว่า Fortinet จะรับทราบอย่างเป็นทางการถึงช่องโหว่ที่รายงานและออกแพตช์รักษาความปลอดภัย โดยแนะนำให้จำกัดการเข้าถึง VPN และตรวจสอบกิจกรรมการเข้าสู่ระบบสำหรับความผิดปกติใดๆ
องค์กรที่ใช้โซลูชันของ Fortinet ได้รับการส่งเสริมให้ระมัดระวัง เนื่องจากข้อบกพร่องอาจเปิดเผยข้อมูลประจำตัวที่ละเอียดอ่อนหากถูกนำไปใช้ประโยชน์
