中國駭客利用 FortiClient VPN 零時差漏洞竊取憑證資訊

據外媒報導，中國駭客組織正在利用 Fortinet FortiClient Windows VPN 用戶端的一個零時差漏洞，搭配自製的後滲透工具「DeepData」竊取用戶憑證。

根據資安公司 Volexity 的報告，該漏洞允許攻擊者在用戶完成 VPN 身份驗證後，從記憶體中竊取認證資訊。雖然 Volexity 已於 2024 年 7 月向 Fortinet 通報此問題，但至今仍未修補，也未獲得 CVE 編號。

漏洞技術分析

這個零時差漏洞與 2016 年發現的一個類似問題有相似之處，當時的漏洞也是透過硬編碼的記憶體位移來暴露憑證。然而，2024 年發現的這個新漏洞具有其獨特性，主要體現在記憶體處理機制上。研究人員發現 FortiClient 在身份驗證後未能正確清除記憶體中的敏感資訊，導致認證資料以 JSON 物件形式持續存留在程序記憶體中。這些遺留在記憶體中的敏感資訊包含完整的 VPN 連線配置。

值得注意的是，這個漏洞主要影響最新版本的 FortiClient，特別是在 v7.4.0 版本中最為明顯。研究人員推測，這很可能與近期程式碼重構或功能更新有直接關聯。

DeepData 攻擊工具鏈分析

DeepData 是一個精心設計的模組化後滲透工具套件。其核心架構支援動態載入外掛，具備強大的記憶體掃描與解密能力，能夠實現多種形式的資料竊取。攻擊者特別開發了針對 FortiClient 的專用外掛模組，該模組能夠實現精確的記憶體掃描，並具備複雜的 JSON 物件解析能力。

在實際攻擊過程中，DeepData 會首先掃描 FortiClient 的程序記憶體空間，通過特定特徵定位包含認證資訊的 JSON 物件。一旦找到目標資料，工具會自動進行解密並提取認證資料，最後通過 DeepPost 後門將竊取的資訊傳輸出去。

BrazenBamboo 組織的進階持續性威脅

這波攻擊由代號「BrazenBamboo」的中國駭客組織所發動。該組織以開發和部署針對 Windows、macOS、iOS 和 Android 系統的進階惡意程式家族而聞名，主要用於執行監控行動。

BrazenBamboo 組織部署了一套完整的多層次惡意程式系統。其中，LightSpy 作為一個強大的跨平台監控工具，不僅能夠記錄鍵盤輸入，還可以攔截瀏覽器憑證並監控即時通訊軟體。而 DeepPost 則作為專門的資料竊取後門，採用加密通訊並支援多種傳輸協議，確保數據竊取的隱蔽性。

該組織的攻擊戰術顯示出高度的組織性和針對性。他們優先鎖定企業的 VPN 基礎設施，獲取合法憑證後進行橫向移動，最終在目標網路中建立長期的持續性存取管道。

防護建議

在官方修補程式發布前，企業應該加強 VPN 存取控制，實施多因素認證機制，並嚴格限制 VPN 登入來源。同時，縮短認證工作階段時間也是降低風險的有效手段。

在監控與檢測方面，企業應該部署專業的記憶體監控解決方案，密切追蹤異常的 VPN 連線模式，並對認證失敗事件保持高度警覺。此外，實施嚴格的網段隔離，限制 VPN 用戶的存取範圍，並建立完善的資安事件應變機制，都是必要的防護措施。

Volexity 已發布完整的 IOC 清單，包含相關程序雜湊值、網路通訊特徵和惡意程式行為指標。資安團隊應持續關注 Fortinet 的安全公告，並及時套用修補程式。考慮到漏洞的嚴重性，在修補方案發布前，企業可能需要評估替代的 VPN 解決方案，以降低遭受攻擊的風險。

針對這個資安事件的最新發展，Fortinet 尚未對 Volexity 的發現做出正式回應，也未提供具體的修補時程。這種情況下，企業更應該主動採取防護措施，確保網路環境的安全。

本文轉載自bleepingcomputer。