歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
中國駭客利用 FortiClient VPN 零時差漏洞竊取憑證資訊
2024 / 11 / 20
編輯部
據外媒報導,中國駭客組織正在利用 Fortinet FortiClient Windows VPN 用戶端的一個零時差漏洞,搭配自製的後滲透工具「DeepData」竊取用戶憑證。
根據資安公司 Volexity 的報告,該漏洞允許攻擊者在用戶完成 VPN 身份驗證後,從記憶體中竊取認證資訊。雖然 Volexity 已於 2024 年 7 月向 Fortinet 通報此問題,但至今仍未修補,也未獲得 CVE 編號。
漏洞技術分析
這個零時差漏洞與 2016 年發現的一個類似問題有相似之處,當時的漏洞也是透過硬編碼的記憶體位移來暴露憑證。然而,
2024 年發現的這個新漏洞具有其獨特性,主要體現在記憶體處理機制上。研究人員發現 FortiClient 在身份驗證後未能正確清除記憶體中的敏感資訊,導致認證資料以 JSON 物件形式持續存留在程序記憶體中。這些遺留在記憶體中的敏感資訊包含完整的 VPN 連線配置。
值得注意的是,
這個漏洞主要影響最新版本的 FortiClient,特別是在 v7.4.0 版本中最為明顯。
研究人員推測,這很可能與近期程式碼重構或功能更新有直接關聯。
DeepData 攻擊工具鏈分析
DeepData 是一個精心設計的模組化後滲透工具套件。其核心架構支援動態載入外掛,具備強大的記憶體掃描與解密能力,能夠實現多種形式的資料竊取。
攻擊者特別開發了針對 FortiClient 的專用外掛模組,該模組能夠實現精確的記憶體掃描,並具備複雜的 JSON 物件解析能力。
在實際攻擊過程中,DeepData 會首先掃描 FortiClient 的程序記憶體空間,通過特定特徵定位包含認證資訊的 JSON 物件。一旦找到目標資料,工具會自動進行解密並提取認證資料,最後通過 DeepPost 後門將竊取的資訊傳輸出去。
BrazenBamboo 組織的進階持續性威脅
這波攻擊由代號「BrazenBamboo」的中國駭客組織所發動。該組織以開發和部署針對 Windows、macOS、iOS 和 Android 系統的進階惡意程式家族而聞名,主要用於執行監控行動。
BrazenBamboo 組織部署了一套完整的多層次惡意程式系統。其中,LightSpy 作為一個強大的跨平台監控工具,不僅能夠記錄鍵盤輸入,還可以攔截瀏覽器憑證並監控即時通訊軟體。而 DeepPost 則作為專門的資料竊取後門,採用加密通訊並支援多種傳輸協議,確保數據竊取的隱蔽性。
該組織的攻擊戰術顯示出高度的組織性和針對性。他們優先鎖定企業的 VPN 基礎設施,獲取合法憑證後進行橫向移動,最終在目標網路中建立長期的持續性存取管道。
防護建議
在官方修補程式發布前,企業應該加強 VPN 存取控制,實施多因素認證機制,並嚴格限制 VPN 登入來源。同時,縮短認證工作階段時間也是降低風險的有效手段。
在監控與檢測方面,企業應該部署專業的記憶體監控解決方案,密切追蹤異常的 VPN 連線模式,並對認證失敗事件保持高度警覺。此外,實施嚴格的網段隔離,限制 VPN 用戶的存取範圍,並建立完善的資安事件應變機制,都是必要的防護措施。
Volexity 已發布完整的 IOC 清單,包含相關程序雜湊值、網路通訊特徵和惡意程式行為指標。資安團隊應持續關注 Fortinet 的安全公告,並及時套用修補程式。考慮到漏洞的嚴重性,在修補方案發布前,企業可能需要評估替代的 VPN 解決方案,以降低遭受攻擊的風險。
針對這個資安事件的最新發展,Fortinet 尚未對 Volexity 的發現做出正式回應,也未提供具體的修補時程。這種情況下,企業更應該主動採取防護措施,確保網路環境的安全。
本文轉載自bleepingcomputer。
DeepData
零時差漏洞
VPN安全
BrazenBamboo
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
看更多活動
大家都在看
企業 VPN 更新機制遭攻破,研究人員揭露權限提升攻擊鏈
重大供應鏈攻擊又一樁! 美國供應鏈管理軟體大廠 Blue Yonder 遭勒索攻擊,星巴克等企業營運受阻
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
TWNIC報告:51.22%受訪者表示不信任政府有應對網路攻擊的能力
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
資安人科技網
文章推薦
Winos4.0透過遊戲應用程式傳播發起威脅活動
SmokeLoader惡意程式瞄準台灣製造業與資訊科技業
2024台灣資安通報應變年會:資安長高峰論壇 聚焦威脅應變與跨域協作