اكتشفت شركة Volexity ثغرة خطيرة في برنامج FortiClient الخاص بـ Fortinet، حيث يمكن للمهاجمين استغلالها لسرقة بيانات اعتماد VPN مباشرة من ذاكرة الجهاز. تم استغلال هذه الثغرة بواسطة مجموعة تهديد صينية تُعرف باسم BrazenBamboo، والتي استخدمت برمجية خبيثة تُسمى DEEPDATA.
أهم النقاط:
- الثغرة تسمح بسرقة بيانات اعتماد المستخدم بعد تسجيل الدخول إلى VPN.
- تم اكتشاف هذه الثغرة أثناء تحليل عينة من برمجية DEEPDATA، وهي أداة لجمع المعلومات من الأنظمة المخترقة.
- BrazenBamboo مسؤولة أيضًا عن تطوير عدة عائلات من البرمجيات الخبيثة، بما في ذلك LIGHTSPY وDEEPPOST.
تحليل البرمجيات الخبيثة:
تم تحديد برمجية DEEPDATA على أنها أداة استغلال ما بعد الاختراق، تُستخدم لجمع البيانات الحساسة من الأنظمة المستهدفة. تتضمن هذه البرمجية عدة مكونات قادرة على سرقة البيانات من تطبيقات متعددة مثل WeChat وWhatsApp.
البنية التحتية للتهديد:
تم العثور على عدة خوادم C2 تُستخدم لإدارة ونشر هذه البرمجيات الخبيثة، مما يشير إلى بنية تحتية معقدة تدعم عمليات واسعة النطاق.
تجدر الإشارة إلى أن Volexity أبلغت Fortinet عن الثغرة في يوليو 2024، ولكن لم يتم إصدار تصحيح حتى الآن. ينصح الخبراء باتخاذ تدابير وقائية لحماية الأنظمة من مثل هذه الهجمات.