Çin tehdit aktörleri, Fortinet'in kimlik bilgilerini çalan Forticlient Windows VPN istemcisinde sıfır günlük bir güvenlik açığından yararlanmak için 'DeepData' adlı özel bir işe alım sonrası araç seti kullanıyor.
Sıfır gün, tehdit aktörlerinin kullanıcı VPN aygıtı ile doğrulandıktan sonra kimlik bilgilerini bellekten dökmesine izin verir
Volexity araştırmacıları bu yazın bu yaz başlarında keşfettiklerini ve Fortinet'e bildirdiklerini, ancak sorunun çözülmediği ve buna hiçbir CVE atanmadığını bildirdi.
"Volexity, 18 Temmuz 2024'te Fortinet'e olan bu kırılganlığı bildirdi ve Fortinet sorunu 24 Temmuz 2024'te kabul etti."
"Yazma sırasında, bu sorun çözülmedi ve Volexity atanan bir CVE numarasının farkında değil."
Saldırılar, gözetim işlemlerinde pencereleri, macOS, iOS ve Android sistemlerini hedefleyen gelişmiş kötü amaçlı yazılım aileleri geliştirmek ve dağıtmakla bilinen "Brazenbamboo" adlı Çinli bilgisayar korsanları tarafından yürütülmektedir.
Volexity, tehdit aktörlerinin LightSpy ve Deeppost kötü amaçlı yazılımları da dahil olmak üzere saldırılarının bir parçası olarak çok sayıda kötü amaçlı yazılım kullandığını açıklıyor.
LightSpy, veri toplama, keyloglama, tarayıcı kimlik bilgisi hırsızlığı ve iletişimin izlenmesi için çok platformlu bir casus yazılımdır. Deeppost kötü amaçlı yazılım, tehlikeye atılan cihazlardan veri çalmak için kullanılır.
Volexity'nin raporu, hedeflenen veri hırsızlığı için birden fazla eklenti kullanan Windows için modüler bir sömürü sonrası aracı olan DeepData'ya odaklanmaktadır.
Geçen yaz benekli en son sürümü olan DeepData, kimlik bilgilerini (kullanıcı adları, şifreler) ve VPN sunucu bilgilerini çıkarmak için üründeki sıfır gün güvenlik açığından yararlanan bir Forticlient eklentisi içeriyor.
DeepData, JSON nesnelerini Forticlient'in kimlik bilgilerinin devam ettiği işlem belleğinde bulur ve şifresini çözer ve Deeppost'u kullanarak bunları saldırganın sunucusuna söndürür.
VPN hesaplarından ödün vererek, Brazenbamboo kurumsal ağlara ilk erişim sağlayabilir, burada yanal olarak yayılabilir, hassas sistemlere erişim kazanabilir ve genellikle casusluk kampanyalarını genişletebilirler.
Volexity, DeepData'nın 2024 Temmuz ayı ortalarında Forticlient Sıfırdan yararlandığını ve sabit kodlu belleklerin açıklanmış kimlik bilgilerini ofsetlediği 2016 kusuruna (ayrıca CVE olmadan) benzer olduğunu buldu.
Bununla birlikte, 2024 güvenlik açığı yeni ve farklıdır ve yalnızca en yeni V7.4.0 dahil olmak üzere son sürümlerde çalışır, bu da muhtemelen yazılımdaki son değişikliklere bağlı olduğunu gösterir.
Volexity, sorunun Forticlient'in bellekte JSON nesnelerinde kalan kullanıcı adı, şifre, VPN ağ geçidi ve bağlantı noktası dahil olmak üzere belleklerinden hassas bilgileri temizlememesi olduğunu açıklar.
Fortinet kusuru onaylayana ve bir sabitleme yaması yayınlayana kadar, VPN erişimini kısıtlamanız ve olağandışı giriş etkinliği için izlenmesi önerilir.
En son Brazenbamboo kampanyasıyla ilişkili uzlaşma göstergeleri burada bulunmaktadır.
BleepingComputer, bildirilen sıfır gün güvenlik açığını ve yakında bir güvenlik güncellemesi yayınlamayı planlayıp planlamadıklarını sormak için Fortinet ile temasa geçti, ancak hala yanıtlarını bekliyoruz.
T-Mobile, son telekom ihlal dalgasında hacklendiğini doğrular
37.000 indirme ile kötü niyetli pypi paketi AWS anahtarlarını çalıyor
ABD Govt yetkililerinin iletişimi son telekom hackinde tehlikeye atıldı
Hackerlar Kaçırma Citrix NetScaler Oturum Açma Sayfaları Kimlik Bilgilerini Çalmak İçin
Bu adguard anlaşma size hepsi bir arada bir VPN ve reklam engelleme çözümü sunar
Kaynak: Bleeping Computer