عوامل تهدید چینی از تولکیت سفارشی پس از اکسپلویت به نام “DeepData” جهت سوء استفاده از یک آسیبپذیری روز صفر در کلاینت FortiClient Windows VPN Fortinet و سرقت اطلاعات VPNها استفاده میکنند.
آسیبپذیری روز صفر به عوامل تهدید اجازه میدهد تا پس از احراز هویت کاربر با دستگاه VPN، اعتبارنامهها را از حافظه حذف کنند. این آسیبپذیری در ژوئیه 2024 توسط محققان Volexity به Fortinet گزارش شد و Fortinet این مشکل را در جولای 2024 تأیید کرد، اما تاکنون شناسه CVE به آن اختصاص داده نشده و باگ حل نشده باقی مانده است.
این حملات توسط هکرهای چینی به نام «BrazenBamboo» انجام میشوند که با توسعه و استقرار خانوادههای بدافزار پیشرفته با هدف قرار دادن سیستمهای Windows، macOS، iOS و Android در عملیاتهای نظارتی شناخته میشوند. عوامل تهدید از بدافزارهای متعددی از جمله بدافزار LightSpy و DeepPost به عنوان بخشی از حملات خود استفاده میکنند.
https://www.bleepingcomputer.com/news/security/chinese-hackers-exploit-fortinet-vpn-zero-day-to-steal-credentials/
