中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む

中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む

海外のセキュリティ会社 Volexity は中国のハッカーがFortinet(フォーティーネット)のゼロデイ脆弱性(CVE未割当)を悪用し、クライアントのプロセスのメモリから認証情報が盗まれる可能性を警告しています。なおパッチはまだ未リリースとなっています。

ゼロデイ脆弱性の概要

2024 年 7 月、Volexity は、Fortinet の Windows VPN クライアントのゼロデイ認証情報漏洩脆弱性を悪用した攻撃を特定しました。この脆弱性により、クライアントのプロセスのメモリから認証情報が盗まれる可能性があります。

Volexity はBrazenBamboo という中国系脅威アクターがDEEPDATA というWindows、macOS、iOS、Androidシステムを標的とした高度なマルウェアファミリを開発、展開しており

DEEPDATA はターゲットのデバイスからさまざまな情報を収集するために使用されます。

Volexity はサンプルの分析により、FortiClient VPN クライアントのプロセス メモリから認証情報を抽出するように設計されたプラグインを発見しました。

DEEPDATAの概要

前述のとおり、DEEPDATA は Windows 用のモジュール式ポストエクスプロイト ツールであり、侵害されたシステムから機密情報を収集するのに役立ちます。

このツールは、攻撃者がシステムのコマンド ラインから実行する必要があります。DEEPDATA マルウェアの要素には、次のものが含まれます。

ファイル名 説明
data.dll DEEPDATA ローダー
mod.dat DEEPDATA 仮想ファイルシステム (VFS)
readme.txt DEEPDATA実行オプションを含むファイル

このreadme.txtファイルには、DEEPDATA ローダーの実行方法、使用可能なパラメータ、および復号化キーが記載されています。

DEEPDATA ローダー ファイル

DEEPDATA ローダー ファイル

画像引用:Volexity

画像のkeyパラメータは、DEEPDATAのローダー ファイルによって、ローカル VFS ファイル ( mod.dat) に保存されている DEEPDATA マルウェア ファミリの「コア」コンポーネントを復号化してロードするために使用されます。

これらのコンポーネントは常に実行され、コマンド ラインで渡される追加のパラメータに依存しません。DEEPDATA のコア コンポーネントには次のファイルが含まれます。

 ファイル名 目的
frame.dll シェルコード – プラグイン実行のコアオーケストレーター
ffmpeg.dll 64 ビット プロセスで 32 ビット コードをロードするためのHeaven’s Gateコードが含まれています
vertdll.dll イベントログを収集する
iumdll.dll ローカルに保存されたWeChatデータを収集するために使用されるライブラリ
ucrtbase_enclave.dll ローカルに保存された Feishu データを収集するために使用されるライブラリ
d3dcompiler_47.dll 実行中のインスタント メッセージング アプリ (Line、Feishu、WeChat) をチェックします

昨年夏に発見された最新バージョンの DeepData には、製品のゼロデイ脆弱性を悪用して認証情報 (ユーザー名、パスワード) と VPN サーバー情報を抽出する FortiClient プラグインが含まれています。

DeepData は、資格情報が保存されている FortiClient のプロセス メモリ内の JSON オブジェクトを見つけて復号化し、DeepPost を使用して攻撃者のサーバーに流出させます。

DeepData概要

DeepData概要

画像引用:Volexity

BrazenBamboo が利用する複数のマルウェアファミリも確認

Volexity はBrazenBamboo と 3 つの異なるマルウェア ファミリ (LIGHTSPY、DEEPDATA、DEEPPOST) との関連性を確認しています。

Volexity は、BrazenBamboo をこれらのマルウェア ファミリの開発元として追跡していますが、必ずしもそれらを使用しているオペレーターの 1 人であるとは限りません

※オペレーターは多数いる可能性があります。

Volexity は、執筆時点ではこれまで文書化されていなかった LIGHTSPY の新しい Windows バリアントも特定しました。

LIGHTSPYとは

LIGHTSPY は、データ収集、キーロギング、ブラウザ認証情報の盗難、通信の監視を行うマルチプラットフォーム スパイウェアで、その後DeepPost は、前段の通り侵害されたデバイスからデータを盗むために使用しています。

DEEPDATA 用の独自のプラグイン

DEEPDATAは以下の通りFortinet以外にも侵害したデバイスから、アプリや音声を窃取します。

プラグイン名 プラグインの機能
AccountInfo 侵害されたデバイス上の 18 の異なるソースから資格情報を盗みます。
AppData 侵害されたデバイス上の WeChat、WhatsApp、Signal からデータを収集します。
Audio 侵害されたデバイスで音声を録音します。
ChatIndexedDb WhatsApp および Zalo チャット クライアントからデータベースを盗みます。
FortiClient FortiClient VPN プロセスのプロセス メモリから資格情報とサーバー情報を抽出します。
Outlook ローカルの Microsoft Outlook インスタンスから連絡先と電子メールを収集します。
SocialSoft WeChat、Line、QQ、DingDing、Skype、Telegram、Feishu アプリケーションからデータを盗みます。
SoftwareList インストールされているソフトウェア、フォルダー、およびファイルをベースの場所から再帰的に一覧表示します。
SystemInfo 侵害されたデバイスから基本的な列挙情報を収集します。
TdMonitor Telegram をフックしてアプリケーションからメッセージを取得します。
WebBrowser Firefox、Chrome、Opera、Edge ウェブブラウザから履歴、Cookie、パスワードを収集します。
WifiList 保存されている WiFi キーと近くのホットスポットの詳細を収集します。

 

ゼロデイの脆弱性は未解決

Volexity は 2024 年 7 月 18 日にこの脆弱性を Fortinet に報告し、Fortinet は 2024 年 7 月 24 日にこの問題を認めまていますが、この問題は未解決のままであり、Volexity は割り当てられた CVE 番号を認識していません。

そのため修正パッチがリリースされるまでVPNアクセスを制限し、異常なログインアクティビティがないか監視する事をお勧めします。

最新の脅威情報も公開されているので併せてご確認ください。

TOPへ