Fortinet

中国の脅威行為者は、「DeepData」と名付けられたカスタムポストエクスプロイトツールキットを使用して、認証情報を盗むフォーティネットのFortiClient Windows VPNクライアントのゼロデイ脆弱性を悪用します。

このゼロデイによって、脅威者はユーザーがVPNデバイスで認証した後に、メモリから認証情報をダンプすることが可能になります。

Volexityの研究者は、今年の夏の初めにこの欠陥を発見し、Fortinetに報告したが、問題は未修正のままであり、CVEも割り当てられていないと報告している。

「Volexityは2024年7月18日にこの脆弱性をFortinetに報告し、Fortinetは2024年7月24日にこの問題を認めた

「本稿執筆時点では、この問題は未解決のままであり、VolexityはCVE番号が割り当てられていることを認識していない。

VPNの認証情報を狙う

この攻撃は “BrazenBamboo “と名付けられた中国のハッカーによって行われており、Windows、macOS、iOS、Androidシステムを標的とした高度なマルウェア・ファミリーを開発・展開し、監視活動を行っていることで知られている。

Volexityの説明によると、脅威の主体は攻撃の一環として、LightSpyやDeepPostマルウェアを含む多数のマルウェアを利用している。

LightSpyは、データ収集、キーロギング、ブラウザ・クレデンシャルの窃取、通信の監視を目的としたマルチプラットフォームのスパイウェアである。DeepPostマルウェアは、侵害されたデバイスからデータを盗むために使用されます。

Volexityのレポートでは、Windows用のモジュール型ポスト・エクスプロイト・ツールであるDeepDataに焦点を当てており、標的型データ窃取のために複数のプラグインを採用しています。

昨年夏に発見された最新バージョンのDeepDataには、FortiClientプラグインが含まれており、同製品のゼロデイ脆弱性を悪用して認証情報(ユーザー名、パスワード)とVPNサーバー情報を抽出します。

DeepDataは、認証情報が保持されるFortiClientのプロセスメモリ内のJSONオブジェクトを特定して復号化し、DeepPostを使用して攻撃者のサーバに流出させます。

Information in memory targeted by DeepData (orange)
DeepData が標的とするメモリ内の情報(オレンジ色)
出典:Volexity

VPNアカウントを侵害することで、BrazenBambooは企業ネットワークに最初にアクセスすることができ、そこから横に広がって機密システムにアクセスし、一般的にスパイ活動を拡大することができます。

Plugins seen in the latest DeepData version
DeepDataの最新バージョンで見られるプラグイン
出典:Volexity:Volexity

FortiClientゼロデイ

Volexityは、DeepDataが2024年7月中旬にFortiClientゼロを活用していることを発見し、ハードコードされたメモリオフセットが認証情報を暴露する2016年の欠陥(同じくCVEなし)と類似していることを明らかにしました。

しかし、2024年の脆弱性は新しく、明確であり、最新のv7.4.0を含む最近のリリースでのみ機能することから、ソフトウェアの最近の変更と関連している可能性が高いことを示している。

Volexityの説明によると、この問題はFortiClientがユーザー名、パスワード、VPNゲートウェイ、ポートなどの機密情報をメモリから消去しないために発生し、メモリ内のJSONオブジェクトに残るという。

フォーティネットがこの不具合を確認し、修正パッチをリリースするまでは、VPNアクセスを制限し、異常なログインアクティビティがないか監視することが推奨されます。

最新のBrazenBambooキャンペーンに関連する侵害の指標は、こちらで入手できます。

フォーティネットに連絡し、報告されているゼロデイ脆弱性について、また近日中にセキュリティアップデートを発行する予定があるかどうかを尋ねたが、まだ回答待ちである。