Хакери използват персонализиран набор от инструменти, наречен „DeepData“, за да използват zero-day уязвимост във VPN клиента на Fortinet FortiClient Windows, която краде идентификационни данни.
Уязвимостта позволява на нападателите да изхвърлят идентификационните данни от паметта, след като потребителят се удостовери с VPN.
DeepData локализира и дешифрира JSON обекти в паметта на FortiClient и ги ексфилтрира към сървъра на атакуващия с помощта на DeepPost.
Чрез компрометиране на VPN акаунти, нападател може да получи първоначален достъп до корпоративни мрежи, където след това да разшири достъпа си и да получи достъп и до чувствителни системи.
Докато Fortinet не потвърди недостатъка и не публикува актуализация за сигурност, CERT България препоръчва да ограничите VPN достъпа и да следите за необичайна активност при влизане.