- Исследователи обнаружили китайского злоумышленника, похитившего учетные данные для входа в Fortinet VPN
- Кражи, осуществленные с использованием уязвимости, обнаруженной в 2023 году.
- Ошибка еще не исправлена и даже не получила CVE.
Исследователи кибербезопасности обнаружили, что клиент Windows VPN от Fortinet в течение нескольких месяцев был уязвим из-за уязвимости, которая позволяет злоумышленникам красть учетные данные пользователей, а теперь, как сообщается, китайские хакеры начали использовать эту уязвимость и красть данные.
Эксперты Volexity опубликовали подробный отчет о вредоносном ПО под названием DeepData. Это вредоносное ПО использовалось китайским злоумышленником BrazenBamboo для кражи учетных данных и информации VPN-сервера из VPN Fortinet.
Как объясняют эксперты, после входа пользователя в VPN его учетные данные остаются в памяти процесса. DeepData может находить и расшифровывать объекты JSON в памяти процесса клиента, эффективно похищая информацию. На последнем этапе DeepData может передать информацию на сервер, находящийся под контролем злоумышленника.
Медный бамбук
Volexity обнаружила уязвимость в начале июля 2024 года и сообщила о ней в Fortinet. Компания признала наличие проблемы 24 июля, но так и не отреагировала на выводы, и уязвимость остается нерешенной. Не присвоен даже номер CVE, и нет никаких указаний на то, когда (если вообще когда-либо) будет доступно исправление.
Результаты вызывают беспокойство, поскольку VPN Fortinet используются многими организациями всех размеров по всему миру. Получив учетные данные, киберпреступники могут получить доступ к корпоративным сетям, что позволяет им перемещаться в горизонтальном направлении, красть больше информации и, возможно, даже внедрять программы-вымогатели.
Пока не будет доступен патч, Volexity советует пользователям ограничивать доступ к VPN и следить за необычной активностью при входе в систему.
BrazenBamboo, судя по всему, является спонсируемым государством субъектом угроз, то есть он получает зарплату от Китая. Исследователи полагают, что именно эта группа разработала три известных семейства вредоносных программ: Lightspy, DeepData и DeepPost. В отличие от северокорейских группировок, которые не уклоняются от использования программ-вымогателей и других разрушительных вредоносных программ, китайские группы в первую очередь заинтересованы в кибершпионаже и поэтому обычно стараются оставаться незамеченными как можно дольше.
Над ПипКомпьютер
Вам также может понравиться это
