Зловмисник, відомий як BrazenBamboo, скористався невирішеною помилкою безпеки у FortiClient для Windows Fortinet, щоб отримати облікові дані VPN як частину модульної структури під назвою DEEPDATA. Це модульний інструмент пост-експлуатації для операційної системи Windows, який використовується для збору широкого діапазону інформації з цільових пристроїв.
 
Основним компонентом DEEPDATA є бібліотеки динамічних посилань (DLL) під назвою “data.dll”, розроблений для розшифрування та запуску 12 різних плагінів за допомогою модуля-оркестратора (“frame.dll”). Серед плагінів є раніше незадокументована DLL “FortiClient”, яка може перехоплювати облікові дані VPN. Було виявлено, що цей плагін використовує вразливість нульового дня в клієнті Fortinet VPN у Windows, яка дозволяє йому витягувати облікові дані  користувача з пам’яті клієнтського процесу.
 
Оркестратор виконується за допомогою завантажувача під назвою BH_A006, який раніше вже використовувався підозрюваною китайською групою під назвою “Космічні пірати”. 
 
Fortinet про недолік було повідомлено, але вразливість залишається невиправленою.

Джерело: https://thehackernews.com/2024/11/warning-deepdata-malware-exploiting.html