Volexity のサイバーセキュリティ研究者は最近、中国政府系の攻撃者がフォーティネットの Windows VPN クライアントである FortiClient にあるパッチが適用されていないゼロデイ脆弱性を悪用し、機密の VPN 認証情報をメモリから直接盗んだと報告しました。
中国国家支援の疑いのある攻撃者「BrazenBamboo」は、さまざまなアプリから資格情報を抽出し、音声を録音し、情報を収集できる Windows オペレーティング システム用のモジュール型エクスプロイト後マルウェア「DEEPDATA」の開発に関与しているとされています。
Volexity は、LIGHTSPY や DEEPPOST などの他のマルウェア ファミリの開発者として BrazenBamboo も追跡しています。ただし、複数のユーザーが存在する可能性があるため、それらを利用する事業者と必ずしも関連付けられるわけではないと同社は付け加えた。
DEEPDATA マルウェア ファミリの分析中に、セキュリティ研究者は、マルウェアの特殊な FortiClient プラグインが、FortiClient VPN クライアントのプロセス メモリ内の JSON オブジェクトに保存されているユーザー名、パスワード、リモート ゲートウェイ、ポートなどの機密の資格情報を抽出することによって脆弱性を悪用したことを発見しました。
サイバーセキュリティの専門家によると、DEEPDATA フレームワークは、コアのダイナミック リンク ライブラリ (DLL) コンポーネントである「data.dll」に依存しており、このコンポーネントは「frame.dll」というプラグイン実行用のオーケストレーターを介して、最大 12 個の固有のプラグインを復号化して実行するように設計されています。 」
これらのプラグインの中には、FortiClient VPN プロセスのプロセス メモリから資格情報とサーバー情報を抽出できる、新たに特定された「FortiClient」DLL があります。
「Volexity は、FortiClient プラグインがファイル名 msenvico.dll のライブラリを通じて含まれていることを発見しました。このプラグインは、Windows 上のフォーティネット VPN クライアントのゼロデイ脆弱性を悪用し、クライアントのプロセスのメモリからユーザーの資格情報を抽出できることが判明しました」とセキュリティ研究者の Callum Roxan、Charlie Gardner、Paul Rascagneres は述べています。書きました金曜日の技術ブログ投稿でこう述べた。
このプラグインによって適用される手法は、ハードコードされたオフセットに基づいてメモリ内で資格情報が検出される可能性がある、2016 年に発見された同様の脆弱性に似ています。
ただし、Volexity は、2024 の脆弱性は新しいものであり、欠陥発見時の最新バージョンである FortiClient バージョン 7.4.0 に存在することを確認しました。
サイバーセキュリティ会社は、2024 年 7 月 18 日に認証情報開示の脆弱性をフォーティネットに報告し、2024 年 7 月 24 日に認識されました。しかし、この問題は現在に至るまでパッチが適用されておらず、CVE も割り当てられていません。
「Volexity の分析は、BrazenBamboo が豊富なリソースを備えた攻撃者であり、運用期間が長くマルチプラットフォーム機能を維持しているという証拠を提供します。その能力の広さと成熟度は、有能な開発機能と、開発成果を推進する運用要件の両方を示しています」とサイバーセキュリティ会社は述べています。
DEEPDATA に加えて、BrazenBamboo は、HTTPS を使用してリモート システムにファイルを送信するためのエクスプロイト後のデータ抽出ツールである DEEPPOST も開発しました。
DEEPDATA と DEEPPOST は、iOS や Windows を含む複数のオペレーティング システムをターゲットにすることで知られるマルチプラットフォーム マルウェア ファミリである LIGHTSPY と合わせて、攻撃者の高度かつ強力なサイバー スパイ活動能力と、パッチが適用されていないシステムや機密のユーザー データに生じるリスクを示します。
フォーティネットが報告された脆弱性を正式に認め、セキュリティ パッチを公開するまでは、VPN アクセスを制限し、ログイン アクティビティに異常がないか監視することをお勧めします。
この欠陥が悪用されると機密の認証情報が漏洩する可能性があるため、フォーティネットのソリューションに依存している組織は引き続き警戒することが推奨されます。
![Windows 11で自動ログインを有効にする方法[4つの方法]](https://soud.one/tech/hiroyuki/wp-content/uploads/2023/09/enable-auto-login-windows-11-cover.jpg)
