Hacker ชาวจีนใช้ช่องโหว่ Zero-Day ใน Fortinet VPN เพื่อขโมยข้อมูล Credentials

พบ Hacker ชาวจีน ใช้ชุดเครื่องมือ post-exploitation toolkit ในชื่อ "DeepData" เพื่อโจมตีช่องโหว่ Zero-Day ใน FortiClient Windows VPN client เพื่อโมยข้อมูล credentials

โดยช่องโหว่ Zero-Day ดังกล่าว ทำให้ Hacker สามารถ dump ข้อมูล credentials จากหน่วยความจำหลังจากที่ผู้ใช้งานผ่านการยืนยันตัวตนผ่านอุปกรณ์ VPN

นักวิจัยของ Volexity รายงานว่า พวกเขาพบช่องโหว่นี้ในช่วงต้นฤดูร้อน และรายงานให้ Fortinet ทราบเมื่อวันที่ 18 กรกฎาคม 2024 และ Fortinet ยอมรับช่องโหว่ดังกล่าวเมื่อวันที่ 24 กรกฎาคม 2024 แต่ช่องโหว่ยังคงไม่ได้รับการแก้ไข และยังไม่มีการระบุหมายเลข CVE ให้กับช่องโหว่ดังกล่าว

การกำหนดเป้าหมายการโจมตีไปยังข้อมูลประจำตัว VPN

การโจมตีที่ถูกดำเนินการโดย Hacker ชาวจีน ที่มีชื่อว่า "BrazenBamboo" ซึ่งเป็นที่รู้จักกันดีในการพัฒนา และใช้งานมัลแวร์ขั้นสูงที่โจมตีระบบ Windows, macOS, iOS และ Android

Volexity อธิบายว่า Hacker ได้ใช้มัลแวร์จำนวนมากในการโจมตี รวมถึงมัลแวร์ LightSpy และ DeepPost

LightSpy เป็นสปายแวร์ที่ทำงานได้หลายแพลตฟอร์ม สำหรับการรวบรวมข้อมูล keylogging การขโมยข้อมูล browser credential และการดักจับการเชื่อมต่อ

DeepPost เป็นมัลแวร์ที่ใช้เพื่อขโมยข้อมูลจากอุปกรณ์ที่ถูกโจมตี

ทั้งนี้ รายงานของ Volexity ได้มุ่งเน้นไปที่ DeepData ซึ่งเป็นเครื่องมือ post-exploitation tool สำหรับ Windows ซึ่งใช้ plugins หลายตัวเพื่อขโมยข้อมูล

โดย DeepData เวอร์ชันล่าสุด ที่พบเมื่อฤดูร้อน มี FortiClient plugin ที่ใช้โจมตีช่องโหว่ Zero-Day เพื่อขโมยข้อมูล credentials (ชื่อผู้ใช้ และรหัสผ่าน) และข้อมูล VPN server

ซึ่ง DeepData จะค้นหา และถอดรหัส JSON objects ในหน่วยความจำของ FortiClient process และขโมยข้อมูลเหล่านี้ส่งไปยัง C2 Server ของ Hacker โดยใช้ DeepPost

ในการโจมตีเพื่อเจาะ VPN accounts จะทำให้กลุ่ม BrazenBamboo สามารถเข้าถึงเครือข่ายองค์กรได้ จากนั้นจะทำการแพร่กระจายต่อไปในระบบ เพื่อเข้าถึงระบบที่มีความสำคัญ และขยายขอบเขตของแคมเปญการโจมตีออกไป

ช่องโหว่ Zero-Day ใน FortiClient

Volexity พบว่า DeepData ใช้ช่องโหว่ Zero-Day ใน FortiClient เพื่อโจมตีเป้าหมายในช่วงกลางเดือนกรกฎาคม 2024 ซึ่งคล้ายกับช่องโหว่ในปี 2016 (ไม่มี CVE เช่นกัน) เป็นช่องโหว่ใน hardcoded memory ที่ทำให้ข้อมูลรั่วไหล

อย่างไรก็ตาม ช่องโหว่ที่พบในปี 2024 ถือเป็นช่องโหว่ใหม่ และแยกจากช่องโหว่อื่น และใช้โจมตีได้เฉพาะกับเวอร์ชันที่เผยแพร่ล่าสุดเท่านั้น, รวมถึงเวอร์ชันล่าสุด, v7.4.0 ซึ่งแสดงให้เห็นว่าช่องโหว่นี้อาจเชื่อมโยงกับการเปลี่ยนแปลงล่าสุดของซอฟต์แวร์

Volexity อธิบายว่า ช่องโหว่ดังกล่าวเกิดจากความผิดพลาดของ FortiClient ในการ clear ข้อมูลที่มีความสำคัญออกจากหน่วยความจำ รวมถึงชื่อผู้ใช้, รหัสผ่าน, VPN gateway และพอร์ต ซึ่งยังคงอยู่ใน JSON objects ในหน่วยความจำ

จนกว่า Fortinet จะยืนยันช่องโหว่ และออกแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าว ทาง Fortinet ได้แนะนำให้ทำการจำกัดการเข้าถึง VPN และตรวจสอบพฤติกรรมการเข้าสู่ระบบที่ผิดปกติ

IOCs ที่เกี่ยวข้องกับแคมเปญ BrazenBamboo ล่าสุดมีดังนี้ : https://github.com/volexity/threat-intel/blob/main/2024/2024-11-15%20BrazenBamboo/iocs.csv{}

ที่มา : bleepingcomputer