Los actores de amenazas chinos usan un kit de herramientas personalizado posterior a la explotación llamado ‘DeepData‘ para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales.
El ataque de día cero permite a los actores de amenazas robar las credenciales de la memoria después de que el usuario se autenticó con el dispositivo VPN
Los investigadores de Volexity (una compañía dedicada a la inteligencia de amenazas) informan que descubrieron esta falla a mediados del mes de Julio y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado un número de vulnerabilidad común (CVE).
«Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024», explicó el informe de la organización.
Los ataques son realizados por ciberdelincuentes chinos. Particularmente este grupo es conocido por desarrollar e implementar familias avanzadas de malware dirigidas a sistemas Windows, macOS, iOS y Android en operaciones de vigilancia.
Volexity explica que los actores de amenazas utilizan numerosos malware como parte de sus ataques, incluido el malware LightSpy y DeepPost.
LightSpy es un spyware multiplataforma para la recopilación de datos, el registro de claves, el robo de credenciales del navegador y el monitoreo de las comunicaciones. El malware DeepPost se utiliza para robar datos de dispositivos comprometidos.
El informe de Volexity se centra en DeepData, una herramienta modular de post-explotación para Windows, que emplea múltiples complementos para el robo de datos específicos.
Su última versión, vista hace un par de semanas, incluye un complemento FortiClient que explota una vulnerabilidad de día cero en el producto para extraer credenciales (nombres de usuario, contraseñas, entre otra información sensible) e información del servidor VPN.
Al comprometer las cuentas VPN, el grupo chino puede obtener acceso inicial a las redes corporativas, donde luego pueden propagarse lateralmente, obtener acceso a sistemas sensibles y, en general, expandir las campañas de espionaje.
Según se informa, el problema es que FortiClient no ha limpiado la información confidencial de su memoria, incluidos el nombre de usuario, la contraseña, la puerta de enlace VPN y el puerto, que permanecen en objetos JSON en la memoria, en lugar de trasladarlo a un formato más seguro.
Hasta que Fortinet confirme la falla y libere un parche de fijación, se recomienda restringir el acceso a su VPN y monitorear la actividad de inicio de sesión inusual.
El medio de comunicación especializado en seguridad informática BleepingComputer se comunicó con Fortinet, pero hasta el momento no recibieron respuesta.