El grupo BrazenBamboo, vinculado a China, explota una vulnerabilidad sin parche en FortiClient (v7.4.0) para robar credenciales VPN. Utilizan el malware modular DEEPDATA, capaz de recopilar datos sensibles y realizar espionaje avanzado en sistemas Windows.
Un grupo de ciberamenazas conocido como BrazenBamboo, presuntamente afiliado al estado chino, está llevando a cabo una sofisticada campaña de ciberespionaje. Están explotando una vulnerabilidad de día cero sin parchear en el cliente VPN de Windows FortiClient de Fortinet para robar credenciales de usuario directamente de la memoria del sistema [2]. Esta vulnerabilidad permite a los atacantes extraer credenciales VPN después de que el usuario se autentica, afectando incluso a la versión más reciente de FortiClient (v7.4.0) [3]. Los investigadores de Volexity descubrieron esta falla en julio de 2024 y la informaron a Fortinet; sin embargo, el problema aún no ha sido solucionado y no se le ha asignado un CVE. BrazenBamboo utiliza un malware modular de post-explotación llamado DEEPDATA, capaz de extraer credenciales, grabar audio y recopilar información de diversas aplicaciones [4].
El uso de DEEPDATA para la recopilación de información
El grupo BrazenBamboo, vinculado a actores de ciberespionaje respaldados por el Estado chino, está utilizando el framework modular DEEPDATA para llevar a cabo ataques sofisticados. Este marco incluye un cargador llamado data.dll y varios complementos diseñados para recopilar información sensible de sistemas Windows comprometidos [2]. Entre estos complementos destaca msenvico.dll, encargado de extraer información de sesiones VPN, como nombres de usuario, contraseñas, puertas de enlace remotas y puertos, directamente de la memoria del cliente VPN.
Las capacidades de DEEPDATA van más allá del robo de credenciales; también recopila datos de aplicaciones de mensajería populares, navegadores y clientes de correo electrónico. Además, el malware puede grabar audio, capturar pulsaciones de teclado y exfiltrar archivos de los sistemas infectados.
El análisis de Volexity revela que BrazenBamboo mantiene una infraestructura sofisticada para operaciones de comando y control (C2), utilizando múltiples servidores para alojar cargas maliciosas y aplicaciones de gestión [2]. La evidencia sugiere un desarrollo continuo de sus herramientas, indicando una amenaza persistente y en evolución.
Recomendaciones
- Mientras Fortinet no reconozca oficialmente la vulnerabilidad reportada ni emita un parche de seguridad, es recomendable restringir el acceso a la VPN y vigilar de cerca la actividad de inicio de sesión para detectar anomalías.
- Se insta a las organizaciones que dependen de las soluciones de Fortinet a mantenerse alerta, ya que esta falla podría exponer credenciales confidenciales si es explotada.
- Monitorear los Indicadores de Compromiso (IoCs) para supervisar posibles señales de ataques para actuar rápidamente en caso de detección.
Indicadores de compromiso (IoCs)
Tabla 1. Indicadores de compromiso. Tomado de [5] [6].
| Valor | Tipo |
| 103.43.18.95 | Dirección IP |
| 103.27.109.217 | Dirección IP |
| 103.27.109.28 | Dirección IP |
| 103.43.18.22 | Dirección IP |
| 203.83.9.62 | Dirección IP |
| 43.248.136.241 | Dirección IP |
| 203.83.9.60 | Dirección IP |
| 202.43.239.13 | Dirección IP |
| 119.147.213.48 | Dirección IP |
| 103.43.19.64 | Dirección IP |
| 121.201.109.98 | Dirección IP |
| 103.27.110.159 | Dirección IP |
| 49.232.185.137 | Dirección IP |
| 0f66a4daba647486d2c9d838592cba298df2dbf38f2008b6571af8a562bc306c | Hash |
| 08e0ed3c9a4c04a4cb83e17f14a4959236dda048336c04e30ab7786b5bf8ffa7 | Hash |
| 80c0cdb1db961c76de7e4efb6aced8a52cd0e34178660ef34c128be5f0d587df | Hash |
| 0f662991dbd0568fc073b592f46e60b081eedf0c18313f2c3789e8e3f7cb8144 | Hash |
| 3d6ef4d88d3d132b1e479cf211c9f8422997bfcaa72e55e9cc5d985fd2939e6d | Hash |
| 18bad57109ac9be968280ea27ae3112858e8bc18c3aec02565f4c199a7295f3a | Hash |
| 5fb67d42575151dd2a04d7dda7bd9331651c270d0f4426acd422b26a711156b5 | Hash |
| 65aa91d8ae68e64607652cad89dab3273cf5cd3551c2c1fda2a7b90aed2b3883 | Hash |
| 4511567b33915a4c8972ef16e5d7de89de5c6dffe18231528a1d93bfc9acc59f | Hash |
| d2ccbf41552299b24f186f905c846fb20b9f76ed94773677703f75189b838f63 | Hash |
| 2b4fbd5aa06f70d84091d2f7cca4bd582237f1a1084835c3c031a718b6e283f9 | Hash |
| ac6d34f09fcac49c203e860da00bbbe97290d5466295ab0650265be242d692a6 | Hash |
| fc7e77a56772d5ff644da143718ee7dbaf7a1da37cceb446580cd5efb96a9835 | Hash |
| be02ce6964d1a10b48897466846e0889c7cf54bdf34133f52bc9226fefb31548 | Hash |
| e5f0022cd79fad21c760a57fedff48e559aaf80ac0e8bbf44401b465654aba02 | Hash |
| 4cbc692e0c914e235b92c55e910c818ec014461462736c56e5328dbcb9971756 | Hash |
| fd261e970d01f0f123e32baf02f5f32edd0db1ee3ffc6c44d18565ecf1194630 | Hash |
| 7d4c9e9b73f74426a975a5f8584059e8c8ca24418e7994ec83ef735c84cf2d31 | Hash |
| ea2c0cbd35465dad118d69fdbf37ecfb9b0eca461e9854d2790dd98201af6dc4 | Hash |
| 205e62b04478c0ef69d69970716e5cb9e5d03293157733194d95ea801df3726c | Hash |
| d804e5cde29c10fa3ca56386c147706d9501b6c2fb73f8fd329a24b9acb4c4e0 | Hash |
| deepdata.zip | Dominio |
| n2.skype | Dominio |
| n2.tg | Dominio |
| Pass1.dll | String |
| Account.rec0 | String |
| msenvico.dll | String |
| dbvis.xml | String |
| frame.dll | String |
| pic32.png | String |
| ProductList.dll | String |
| ChatIndexedDb.dll | String |
Referencia:
[1] B. Toulas, «Chinese hackers exploit Fortinet VPN zero-day to steal credentials,» BleepingComputer, 18 Noviembre 2024. [En línea]. Available: https://www.bleepingcomputer.com/news/security/chinese-hackers-exploit-fortinet-vpn-zero-day-to-steal-credentials/.
[2] G. Baran, «BrazenBamboo APT Exploiting FortiClient Zero-Day to Steal User Credentials,» Cyber Security News, 17 Noviembre 2024. [En línea]. Available: https://cybersecuritynews.com/brazenbamboo-apt-forticlient-zero-day/.
[3] C. Roxan, C. Gardner y P. Rascagneres, «BrazenBamboo Weaponizes FortiClient Vulnerability to Steal VPN Credentials via DEEPDATA,» Volexity, 15 Noviembre 2024. [En línea]. Available: https://www.volexity.com/blog/2024/11/15/brazenbamboo-weaponizes-forticlient-vulnerability-to-steal-vpn-credentials-via-deepdata/.
[4] K. Iyer, «Chinese Hackers Exploit Fortinet Zero-Day To Harvest VPN Credentials,» Techworm, 19 Noviembre 2024. [En línea]. Available: https://www.techworm.net/2024/11/chinese-hackers-exploit-fortinet-zero-day-vpn-credentials.html.
[5] Volexity, «threat-intel,» GitHub, [En línea]. Available: https://github.com/volexity/threat-intel/blob/main/2024/2024-11-15%20BrazenBamboo/iocs.csv.
[6] Devel Group, « SOC_IOCs,» GitHub, [En línea]. Available: https://github.com/develgroup/SOC_IOCs/tree/main/20241118_BrazenBamboo.
