Разкриване на продължил цяла година кибершпионаж: Интригуващо разкритие на потребителски зловреден софтуер RDStealer в целева ИТ фирма

До Chance през Computer Securityг

Превод на:

Появи се мащабна и щателно планирана кибератака, насочена към източноазиатска ИТ фирма, която хвърля светлина върху сложните тактики, използвани от участниците в заплахата. Тази дългосрочна операция, продължила повече от година, беше организирана чрез внедряване на усъвършенстван вариант на злонамерен софтуер, RDStealer, разработен с помощта на езика за програмиране Golang. Подробни констатации, представени в технически доклад от изследователя на Bitdefender Виктор Врабие, разкриват, че основната цел на атаката е била да се компрометират ценни идентификационни данни и да се извърши ексфилтрация на данни.

Обширни доказателства, събрани от румънската фирма за киберсигурност, сочат началото на кампанията в началото на 2022 г., като конкретната цел е неразкрита ИТ компания в Източна Азия. Това разкритие е ярко напомняне за развиващата се сложност и устойчивост на киберзаплахите в днешния взаимосвързан свят.

Съдържание

Разкриване на прогресията

По време на началните етапи на операцията обикновени троянски коне за отдалечен достъп като AsyncRAT и Cobalt Strike изиграха активна роля. Въпреки това, специално проектиран злонамерен софтуер се намеси, за да избегне откриването, докато атаката напредваше в края на 2021 г. или началото на 2022 г. Една забележителна стратегия включваше използване на папки на Microsoft Windows, освободени от сканиране за сигурност, като System32 и Program Files, за съхраняване на полезния товар от задната врата. Този подход имаше за цел да използва ограниченията на софтуера за сигурност и да повиши ефективността на атаката.

Конкретна подпапка, която изигра значителна роля в атаката, е "C:\Program Files\Dell\CommandUpdate", която служи като местоположение за Dell Command | Актуализация, легитимно приложение на Dell. Интересното е, че всички компрометирани машини по време на инцидента са били произведени от Dell, което показва умишлен избор от страна на участниците в заплахата да използват тази папка като камуфлаж за своите злонамерени дейности. Това наблюдение е подсилено от факта, че нападателите са регистрирали командно-контролни (C2) домейни като „dell-a[.]ntp-update[.]com,” стратегически проектирани да се вписват безпроблемно в целевата среда.

Кампанията за проникване използва задна врата от страна на сървъра, известна като RDStealer, която е специализирана в непрекъснато събиране на данни от клипборда и натискания на клавиши на заразения хост. Това поведение позволява на участниците в заплахата да събират тайно чувствителна информация.

Отличителна черта

Това, което отличава тази атака, е нейната способност да наблюдава входящите връзки на протокола за отдалечен работен плот (RDP) и да използва отдалечена машина, ако картографирането на клиентски диск е активирано. След като бъде открита нова RDP клиентска връзка, RDStealer издава команда за извличане на поверителна информация, включително хронология на сърфиране, идентификационни данни и лични ключове, от приложения като mRemoteNG, KeePass и Google Chrome. Това подчертава, че участниците в заплахата активно се насочват към идентификационни данни и запазват връзки към други системи, както Марин Зугек, изследовател в Bitdefender, подчерта в отделен анализ. Освен това RDP клиентите, свързващи се с компрометираните машини, улавят Logutil, друг персонализиран злонамерен софтуер, базиран на Golang.

Logutil използва техники за странично зареждане на DLL, за да установи постоянство в мрежата на жертвата и да улесни изпълнението на команди. Налице е ограничена информация за заплахата, с изключение на тяхната дейност, датираща от 2020 г. Zugec отбелязва непрекъснатите иновации и развиващата се сложност на киберпрестъпниците, които използват нови и утвърдени технологии, за да извършват своите злонамерени дейности. Тази атака служи като доказателство за нарастващата сложност на съвременните киберзаплахи и способността на участниците в заплахите да използват широко разпространени технологии.