BrazenBamboo olarak bilinen bir tehdit aktörü tarafından yürütülen karmaşık bir siber casusluk kampanyası. Grup, DEEPDATA adı verilen modüler bir kötü amaçlı yazılım çerçevesi kullanan daha geniş bir saldırının parçası olarak, kullanıcı kimlik bilgilerini çalmak için Fortinet’in Windows için FortiClient VPN yazılımındaki yamalanmamış bir güvenlik açığından yararlanıyor.
Temmuz 2024’te keşfedilen sıfır gün güvenlik açığı, saldırganların FortiClient işlemlerinin belleğinden VPN kimlik bilgilerini çıkarmasına olanak tanıyor. Bu kusur, keşfedildiği sırada mevcut olan en son FortiClient sürümünü (v7.4.0) bile etkilemektedir.
Çin devletine bağlı bir tehdit aktörü olduğuna inanılan BrazenBamboo, DEEPDATA, DEEPPOST ve LIGHTSPY dahil olmak üzere çok sayıda kötü amaçlı yazılım ailesi geliştirdi.
DEEPDATA çerçevesi, bir yükleyiciden (data.dll) ve güvenliği ihlal edilmiş Windows sistemlerinden hassas bilgiler toplamak için tasarlanmış çeşitli eklentilerden oluşur.
Free Webinar on How Security Leaders can Optimize Their Security Tech Stack in 2025 - Attend in LinkedIn
FortiClient saldırısı, VPN istemcisinin belleğindeki JSON nesnelerinden kullanıcı adlarını, parolaları, uzak ağ geçitlerini ve bağlantı noktalarını çıkaran “msenvico.dll” adlı bir eklenti aracılığıyla uygulanır.
Bu teknik, 2016’da keşfedilen benzer bir güvenlik açığını anımsatıyor ancak mevcut güvenlik açığı FortiClient’in daha yeni sürümlerini etkiliyor.
DEEPDATA’nın yetenekleri kimlik bilgisi hırsızlığının ötesine geçerek popüler mesajlaşma uygulamalarından, tarayıcılardan ve e-posta istemcilerinden veri toplanmasını da kapsar. Kötü amaçlı yazılım ayrıca ses kaydedebilir, tuş vuruşlarını yakalayabilir ve virüslü sistemlerden dosya sızdırabilir.
Volexity’nin analizi, BrazenBamboo’nun komuta ve kontrol (C2) operasyonları için gelişmiş bir altyapıya sahip olduğunu ortaya koyuyor. Grup, kötü amaçlı yazılım yüklerini ve yönetim uygulamalarını barındırmak için birden fazla sunucu kullanıyor ve bunların araçlarının sürekli olarak geliştirildiğini gösteren kanıtlar var.
Araştırmacılar, BrazenBamboo’nun muhtemelen yerel hedeflere odaklanan devlet operatörleri için yetenekler üreten özel bir kuruluş olduğunu orta düzeyde bir güvenle değerlendiriyor. Bu değerlendirme, C2 altyapısında kullanılan dile, kötü amaçlı yazılım geliştirmedeki mimari kararlara ve kamuya açık olmasına rağmen devam eden operasyona dayanmaktadır.
Volexity, FortiClient güvenlik açığını 18 Temmuz 2024’te Fortinet’e bildirdi ve Fortinet de sorunu 24 Temmuz 2024’te kabul etti. Ancak Volexity’nin raporu (Kasım 2024) itibarıyla sorun çözülmemiş durumda ve herhangi bir CVE numarası atanmamış.
Bu kampanyanın keşfi, iyi kaynaklara sahip APT gruplarının oluşturduğu kalıcı tehdidi ve hızlı yama uygulamasının önemini vurgulamaktadır. FortiClient VPN kullanan kuruluşların Fortinet’ten gelen güncellemeleri izlemeleri ve hassas kimlik bilgilerini korumak için ek güvenlik önlemleri uygulamaları önerilir.
Tehdit ortamı gelişmeye devam ettikçe siber güvenlik profesyonelleri, yaygın olarak kullanılan güvenlik yazılımlarındaki sıfır gün güvenlik açıklarından yararlanma becerisi sergileyen BrazenBamboo gibi gelişmiş aktörlere karşı tetikte kalmalıdır.
Simplify and speed up Threat Analysis Workflow by Auto-detonating Cyber Attacks in a Malware sandbox