كشف النقاب عن تجسس إلكتروني لمدة عام: كشف مثير للاهتمام عن البرامج الضارة المخصصة RDStealer في شركة تكنولوجيا المعلومات المستهدفة

بواسطة Chance في Computer Security

ترجمة الى:

ظهر هجوم إلكتروني واسع النطاق ومخطط له بدقة يستهدف شركة تكنولوجيا معلومات في شرق آسيا ، مما يلقي الضوء على التكتيكات المعقدة التي يستخدمها الفاعلون في مجال التهديد. تم تنظيم هذه العملية طويلة المدى ، التي استمرت لأكثر من عام ، من خلال نشر متغير برمجيات خبيثة معقد ، RDStealer ، تم تطويره باستخدام لغة برمجة Golang. كشفت النتائج التفصيلية المقدمة في تقرير تقني من قبل الباحث في Bitdefender فيكتور فرابي أن الهدف الأساسي للهجوم كان اختراق بيانات الاعتماد القيمة وتنفيذ عملية استخراج البيانات.

تشير الأدلة الشاملة التي جمعتها شركة الأمن السيبراني الرومانية إلى بدء الحملة في أوائل عام 2022 ، والهدف المحدد هو شركة تكنولوجيا معلومات غير معلنة في شرق آسيا. هذا الكشف هو تذكير صارخ بالتطور المتطور واستمرار التهديدات الإلكترونية في عالم اليوم المترابط.

جدول المحتويات

كشف النقاب عن التقدم

خلال المراحل الأولى من العملية ، لعبت أحصنة طروادة الشائعة للوصول عن بُعد مثل AsyncRAT و Cobalt Strike دورًا نشطًا. ومع ذلك ، تدخلت البرامج الضارة المصممة خصيصًا لتفادي الاكتشاف مع تقدم الهجوم في أواخر عام 2021 أو أوائل عام 2022. تضمنت الإستراتيجية البارزة استخدام مجلدات Microsoft Windows المستثناة من عمليات الفحص الأمني ، مثل System32 و Program Files ، لتخزين حمولات الباب الخلفي. يهدف هذا النهج إلى استغلال قيود برامج الأمان وتعزيز فعالية الهجوم.

المجلد الفرعي المحدد الذي لعب دورًا مهمًا في الهجوم هو "C: \ Program Files \ Dell \ CommandUpdate" ، والذي يعمل كموقع لـ Dell Command | التحديث ، تطبيق شرعي من Dell. ومن المثير للاهتمام ، أن جميع الأجهزة المخترقة طوال الحادث كانت من صنع Dell ، مما يشير إلى اختيار متعمد من قبل الجهات الفاعلة في التهديد لاستخدام هذا المجلد كتمويه لأنشطتهم الضارة. يتم تعزيز هذه الملاحظة من خلال حقيقة أن المهاجمين سجلوا مجالات القيادة والتحكم (C2) مثل "dell-a [.] ntp-update [.] com ، المصممة بشكل استراتيجي لتندمج بسلاسة في البيئة المستهدفة.

تستخدم حملة التطفل بابًا خلفيًا من جانب الخادم يُعرف باسم RDStealer ، والذي يتخصص في جمع البيانات باستمرار من الحافظة وضربات المفاتيح على المضيف المصاب. يسمح هذا السلوك للجهات الفاعلة في التهديد بجمع معلومات حساسة خلسة.

السمة المميزة

ما يميز هذا الهجوم هو قدرته على مراقبة اتصالات بروتوكول سطح المكتب البعيد (RDP) الواردة واستغلال جهاز بعيد إذا تم تمكين تعيين محرك أقراص العميل. بمجرد اكتشاف اتصال عميل RDP جديد ، يصدر RDStealer أمرًا لاستخراج المعلومات الحساسة ، بما في ذلك محفوظات الاستعراض وبيانات الاعتماد والمفاتيح الخاصة ، من تطبيقات مثل mRemoteNG و KeePass و Google Chrome. يؤكد ذلك أن الجهات الفاعلة في التهديد تستهدف بشكل فعال بيانات الاعتماد وتحفظ الاتصالات بالأنظمة الأخرى ، كما أوضح مارين زوجيك ، الباحث في Bitdefender ، في تحليل منفصل. بالإضافة إلى ذلك ، يلتقط عملاء RDP المتصلون بالأجهزة المخترقة Logutil ، وهو برنامج ضار مخصص آخر قائم على Golang.

يستخدم Logutil تقنيات التحميل الجانبي لـ DLL لإنشاء الثبات داخل شبكة الضحية وتسهيل تنفيذ الأوامر. تتوفر معلومات محدودة حول الجهات الفاعلة في التهديد ، باستثناء نشاطها الذي يعود تاريخه إلى عام 2020. ويلاحظ Zugec على الابتكار المستمر والتطور المتطور لمجرمي الإنترنت ، الذين يستغلون التقنيات الجديدة والراسخة لتنفيذ أنشطتهم الخبيثة. يعتبر هذا الهجوم بمثابة شهادة على التعقيد المتزايد للتهديدات السيبرانية الحديثة وقدرة الجهات الفاعلة في التهديد على استغلال التقنيات المعتمدة على نطاق واسع.