Una amenaza sofisticada y persistente
El grupo de cibercriminales conocido como BrazenBamboo ha lanzado una campaña de ciberespionaje altamente avanzada, aprovechando una vulnerabilidad de día cero no parchada en FortiClient, el software de VPN de Fortinet. Este ataque tiene como objetivo robar credenciales de usuarios de empresas y organizaciones que utilizan este software, el cual se encuentra ampliamente distribuido.
Vulnerabilidad en FortiClient
La vulnerabilidad descubierta en julio de 2024 permite a los atacantes extraer credenciales de VPN desde la memoria de los procesos de FortiClient. Este defecto afecta incluso a la versión más reciente del software (v7.4.0) en el momento de su descubrimiento.
El uso de DEEPDATA para la recopilación de información
El grupo BrazenBamboo, vinculado a actores de ciberespionaje respaldados por el Estado chino, utiliza el framework DEEPDATA para llevar a cabo el ataque. Este marco modular incluye un cargador llamado data.dll y varios complementos que permiten recopilar información sensible desde sistemas Windows comprometidos. Entre los complementos, destaca uno llamado msenvico.dll, que es el encargado de extraer información de las sesiones de VPN, tales como nombres de usuario, contraseñas y otros datos relacionados con el acceso remoto.
Funcionalidades avanzadas de DEEPDATA
El malware DEEPDATA no solo se limita al robo de credenciales. Entre sus capacidades, se encuentra la capacidad de recopilar datos de aplicaciones de mensajería, navegadores web, clientes de correo electrónico, e incluso grabar audio, capturar pulsaciones de teclas y exfiltrar archivos de los sistemas infectados. Esta herramienta demuestra la sofisticación y versatilidad de los atacantes, quienes pueden operar en diversos frentes para obtener información crítica.
Infraestructura de C2 altamente organizada
Según análisis, los atacantes han desarrollado una infraestructura avanzada de comando y control (C2), utilizando múltiples servidores para gestionar los payloads de malware y las aplicaciones de administración. A pesar de que esta vulnerabilidad fue reportada a Fortinet en julio de 2024, aún no ha sido resuelta al momento de la publicación de este informe, lo que deja a las organizaciones vulnerables ante un ataque continuo.
Recomendaciones para las organizaciones
Los expertos de ciberseguridad advierten que las organizaciones que utilizan FortiClient deben estar alertas a posibles actualizaciones de seguridad de Fortinet y tomar medidas adicionales para proteger sus credenciales sensibles. Dada la naturaleza avanzada de la amenaza, es crucial implementar controles adicionales de seguridad en las redes corporativas y realizar monitoreos constantes para detectar signos de actividad sospechosa.
Conclusión
Este ataque subraya la persistente amenaza que representan los grupos APT bien financiados y organizados, como BrazenBamboo. La explotación de vulnerabilidades de día cero en software ampliamente utilizado resalta la importancia de la actualización constante de software y de mantener una postura de seguridad proactiva. Las empresas deben prepararse para enfrentar a estos actores maliciosos, quienes continúan evolucionando y perfeccionando sus técnicas para burlar las defensas tradicionales.
Indicadores de compromiso