11月12日资安业者BlackBerry指出,他们发现使用iOS间谍软体LightSpy的攻击者身分,研究人员从分析恶意程式DeepData的过程里,发现骇客利用这项漏洞窃取FortiClient帐密资料,而这项工作他们是透过其中一项外挂程式达成。研究人员将这项漏洞利用的情况,于7月18日通报,Fortinet于24日确认漏洞,但截至目前为止,研究人员不确定Fortinet是否已经著手修补。
针对恶意程式的来历,研究人员认为开发者是中国国家级骇客组织BrazenBamboo,这组人马与LightSpy、DeepData、DeepPost恶意软体家族有所联系。他们也揭露骇客设计的部分攻击流程,包含如何利用FortiClient漏洞,以及得逞后透过DeepPost外传资料的手段。
研究人员注意到DeepData的原因,主要是发现名为deepdata.zip的压缩档,当中包含了恶意程式载入工具data.dll、DeepData的虚拟档案系统(VPS)档案mod.dat,以及使用说明档案readme.txt。值得留意的是,攻击者必须使用命令列才能执行恶意程式。
其中,DeepData的核心元件,就在上述的VPS档案里面,攻击者一旦下达命令,恶意程式载入工具就会将存放于VPS的元件解开并执行。而这些核心元件的内容,包含能载入外挂程式的Shell Code、事件记录收集工具,以及收集微信、飞书等即时通讯平台资料的程式库。此外,DeepData也透过伪装成DirectX元件的程式库,监控受害电脑的Line、飞书、微信应用程式是否在运作。
而对于骇客使用的外挂元件,研究人员一共确认了其中的12个,最特别应该就属前述提及针对FortiClient而来的工具,他们提及,骇客针对此VPN系统打造外挂的情况,并不常见。
附带一提的是,研究人员发现BrazenBamboo也开发Window版LightSpy,但与macOS版有所不同,Windows版大部分的程式码都直接在记忆体内执行,而能避免于电脑磁碟留下痕迹。