中国黑客利用 Fortinet 零日漏洞获取 VPN 凭证

Volexity 的网络安全研究人员最近报告称，一名与中国政府相关的威胁行为者利用 Fortinet 的 Windows VPN 客户端 FortiClient 中未修补的零日漏洞，直接从内存中窃取敏感的 VPN 凭证。

“BrazenBamboo”是疑似中国国家支持的威胁行为者，被认为开发了“DEEPDATA”，这是一种针对 Windows 操作系统的模块化后利用恶意软件，可以提取凭据、录制音频并从各种应用程序收集信息。

Volexity 还追踪 BrazenBamboo 作为其他恶意软件系列（例如 LIGHTSPY 和 DEEPPOST）的开发者。然而，该公司补充说，它不一定将它们与使用它们的运营商联系起来，因为可能有多个用户。

在分析 DEEPDATA 恶意软件家族期间，安全研究人员发现该恶意软件的专用 FortiClient 插件通过提取敏感凭据（例如存储在 FortiClient VPN 客户端进程内存中的 JSON 对象中的用户名、密码、远程网关和端口）来利用该漏洞。

据网络安全专家称，DEEPDATA 框架依赖于核心动态链接库 (DLL) 组件“data.dll”，该组件旨在通过名为“frame.dll”的插件执行编排器解密并执行多达 12 个独特的插件”。

这些插件中有一个新识别的“FortiClient”DLL，能够从 FortiClient VPN 进程的进程内存中提取凭据和服务器信息。

“Volexity 发现 FortiClient 插件是通过文件名为 msenvico.dll 的库包含的。该插件被发现利用 Windows 上 Fortinet VPN 客户端中的零日漏洞，使其能够从客户端进程的内存中提取用户的凭据。”安全研究人员 Callum Roxan、Charlie Gardner 和 Paul Rascagneres写道在周五的技术博客文章中。

该插件所采用的技术类似于 2016 年发现的类似漏洞，其中可以根据硬编码偏移在内存中发现凭证。

然而，Volexity 确认 2024 漏洞是新漏洞，存在于 FortiClient 版本 7.4.0 中，该版本是发现该漏洞时的最新版本。

该网络安全公司于 2024 年 7 月 18 日向 Fortinet 报告了凭证泄露漏洞，并于 2024 年 7 月 24 日得到承认。但是，该问题迄今为止仍未修补，也没有为其分配 CVE。

“Volexity 的分析提供的证据表明，BrazenBamboo 是一个资源丰富的威胁参与者，它保持着多平台功能和长期运营。他们能力的广度和成熟度表明了强大的开发功能和驱动开发输出的运营需求，”该网络安全公司指出。

除了 DEEPDATA 之外，BrazenBamboo 还开发了 DEEPPOST，这是一种利用后数据泄露工具，用于使用 HTTPS 将文件发送到远程系统。

DEEPDATA 和 DEEPPOST 以及 LIGHTSPY（一个已知针对多个操作系统（包括 iOS 和 Windows）的多平台恶意软件系列）展示了威胁参与者先进而强大的网络间谍能力以及对未修补的系统和敏感用户数据构成的风险。

在 Fortinet 正式承认所报告的漏洞并推出安全补丁之前，建议限制 VPN 访问并监控登录活动是否存在任何违规行为。

我们鼓励依赖 Fortinet 解决方案的组织保持警惕，因为如果被利用，该缺陷可能会暴露敏感凭证。