中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む
海外のセキュリティ会社 Volexity は中国のハッカーがFortinet(フォーティーネット)のゼロデイ脆弱性(CVE未割当)を悪用し、クライアントのプロセスのメモリから認証情報が盗まれる可能性を警告しています。なおパッチはまだ未リリースとなっています。
目次
ゼロデイ脆弱性の概要
2024 年 7 月、Volexity は、Fortinet の Windows VPN クライアントのゼロデイ認証情報漏洩脆弱性を悪用した攻撃を特定しました。この脆弱性により、クライアントのプロセスのメモリから認証情報が盗まれる可能性があります。
Volexity はBrazenBamboo という中国系脅威アクターがDEEPDATA というWindows、macOS、iOS、Androidシステムを標的とした高度なマルウェアファミリを開発、展開しており
DEEPDATA はターゲットのデバイスからさまざまな情報を収集するために使用されます。
Volexity はサンプルの分析により、FortiClient VPN クライアントのプロセス メモリから認証情報を抽出するように設計されたプラグインを発見しました。
DEEPDATAの概要
前述のとおり、DEEPDATA は Windows 用のモジュール式ポストエクスプロイト ツールであり、侵害されたシステムから機密情報を収集するのに役立ちます。
このツールは、攻撃者がシステムのコマンド ラインから実行する必要があります。DEEPDATA マルウェアの要素には、次のものが含まれます。
ファイル名 | 説明 |
data.dll |
DEEPDATA ローダー |
mod.dat |
DEEPDATA 仮想ファイルシステム (VFS) |
readme.txt |
DEEPDATA実行オプションを含むファイル |
このreadme.txt
ファイルには、DEEPDATA ローダーの実行方法、使用可能なパラメータ、および復号化キーが記載されています。
画像引用:Volexity
画像のkey
パラメータは、DEEPDATAのローダー ファイルによって、ローカル VFS ファイル ( mod.dat
) に保存されている DEEPDATA マルウェア ファミリの「コア」コンポーネントを復号化してロードするために使用されます。
これらのコンポーネントは常に実行され、コマンド ラインで渡される追加のパラメータに依存しません。DEEPDATA のコア コンポーネントには次のファイルが含まれます。
ファイル名 | 目的 |
frame.dll |
シェルコード – プラグイン実行のコアオーケストレーター |
ffmpeg.dll |
64 ビット プロセスで 32 ビット コードをロードするためのHeaven’s Gateコードが含まれています |
vertdll.dll |
イベントログを収集する |
iumdll.dll |
ローカルに保存されたWeChatデータを収集するために使用されるライブラリ |
ucrtbase_enclave.dll |
ローカルに保存された Feishu データを収集するために使用されるライブラリ |
d3dcompiler_47.dll |
実行中のインスタント メッセージング アプリ (Line、Feishu、WeChat) をチェックします |
昨年夏に発見された最新バージョンの DeepData には、製品のゼロデイ脆弱性を悪用して認証情報 (ユーザー名、パスワード) と VPN サーバー情報を抽出する FortiClient プラグインが含まれています。
DeepData は、資格情報が保存されている FortiClient のプロセス メモリ内の JSON オブジェクトを見つけて復号化し、DeepPost を使用して攻撃者のサーバーに流出させます。
画像引用:Volexity
BrazenBamboo が利用する複数のマルウェアファミリも確認
Volexity はBrazenBamboo と 3 つの異なるマルウェア ファミリ (LIGHTSPY、DEEPDATA、DEEPPOST) との関連性を確認しています。
Volexity は、BrazenBamboo をこれらのマルウェア ファミリの開発元として追跡していますが、必ずしもそれらを使用しているオペレーターの 1 人であるとは限りません
※オペレーターは多数いる可能性があります。
Volexity は、執筆時点ではこれまで文書化されていなかった LIGHTSPY の新しい Windows バリアントも特定しました。
LIGHTSPYとは
LIGHTSPY は、データ収集、キーロギング、ブラウザ認証情報の盗難、通信の監視を行うマルチプラットフォーム スパイウェアで、その後DeepPost は、前段の通り侵害されたデバイスからデータを盗むために使用しています。
DEEPDATA 用の独自のプラグイン
DEEPDATAは以下の通りFortinet以外にも侵害したデバイスから、アプリや音声を窃取します。
プラグイン名 | プラグインの機能 |
AccountInfo |
侵害されたデバイス上の 18 の異なるソースから資格情報を盗みます。 |
AppData |
侵害されたデバイス上の WeChat、WhatsApp、Signal からデータを収集します。 |
Audio |
侵害されたデバイスで音声を録音します。 |
ChatIndexedDb |
WhatsApp および Zalo チャット クライアントからデータベースを盗みます。 |
FortiClient |
FortiClient VPN プロセスのプロセス メモリから資格情報とサーバー情報を抽出します。 |
Outlook |
ローカルの Microsoft Outlook インスタンスから連絡先と電子メールを収集します。 |
SocialSoft |
WeChat、Line、QQ、DingDing、Skype、Telegram、Feishu アプリケーションからデータを盗みます。 |
SoftwareList |
インストールされているソフトウェア、フォルダー、およびファイルをベースの場所から再帰的に一覧表示します。 |
SystemInfo |
侵害されたデバイスから基本的な列挙情報を収集します。 |
TdMonitor |
Telegram をフックしてアプリケーションからメッセージを取得します。 |
WebBrowser |
Firefox、Chrome、Opera、Edge ウェブブラウザから履歴、Cookie、パスワードを収集します。 |
WifiList |
保存されている WiFi キーと近くのホットスポットの詳細を収集します。 |
ゼロデイの脆弱性は未解決
Volexity は 2024 年 7 月 18 日にこの脆弱性を Fortinet に報告し、Fortinet は 2024 年 7 月 24 日にこの問題を認めまていますが、この問題は未解決のままであり、Volexity は割り当てられた CVE 番号を認識していません。
そのため修正パッチがリリースされるまでVPNアクセスを制限し、異常なログインアクティビティがないか監視する事をお勧めします。