Presentació d'un ciberespionatge durant un any: revelació intrigant de RDStealer de programari maliciós personalitzat a una empresa de TI dirigida

El Chance el Computer Security

Traduir a:

S'ha produït un atac cibernètic extens i meticulosament planificat dirigit a una empresa de TI de l'Àsia oriental, que fa llum sobre les complexes tàctiques emprades pels actors de l'amenaça. Aquesta operació a llarg termini, que va durar més d'un any, es va orquestrar mitjançant la implementació d'una variant de programari maliciós sofisticat, RDStealer, desenvolupada amb el llenguatge de programació Golang. Les troballes detallades presentades en un informe tècnic de l'investigador de Bitdefender Victor Vrabie revelen que l'objectiu principal de l'atac era comprometre les credencials valuoses i executar l'exfiltració de dades.

L'àmplia evidència recopilada per l'empresa de ciberseguretat romanesa apunten a l'inici de la campanya a principis del 2022, amb l'objectiu específic d'una empresa informàtica no revelada a l'Àsia oriental. Aquesta revelació és un recordatori contundent de l'evolució de la sofisticació i la persistència de les amenaces cibernètiques en el món interconnectat actual.

Taula de continguts

Desvetllant la progressió

Durant les etapes inicials de l'operació, els troians comuns d'accés remot com AsyncRAT i Cobalt Strike van tenir un paper actiu. No obstant això, el programari maliciós dissenyat a mida va intervenir per evadir la detecció a mesura que l'atac avançava a finals de 2021 o principis de 2022. Una estratègia notable consistia a utilitzar carpetes de Microsoft Windows exemptes d'exploracions de seguretat, com System32 i fitxers de programa, per emmagatzemar les càrregues útils de la porta posterior. Aquest enfocament pretenia explotar les limitacions del programari de seguretat i millorar l'eficàcia de l'atac.

Una subcarpeta específica que va tenir un paper important en l'atac és "C:\Program Files\Dell\CommandUpdate", que serveix com a ubicació per a Dell Command | Actualització, una aplicació Dell legítima. Curiosament, totes les màquines compromeses durant l'incident van ser fabricades per Dell, cosa que indica una elecció deliberada dels actors de l'amenaça d'utilitzar aquesta carpeta com a camuflatge per a les seves activitats malicioses. Aquesta observació es veu reforçada pel fet que els atacants van registrar dominis de comandament i control (C2) com "dell-a[.]ntp-update[.]com", dissenyats estratègicament per integrar-se perfectament amb l'entorn objectiu.

La campanya d'intrusió utilitza una porta posterior del servidor coneguda com a RDStealer, que s'especialitza en la recollida contínua de dades del porta-retalls i les pulsacions de tecles de l'amfitrió infectat. Aquest comportament permet als actors de l'amenaça recopilar informació confidencial de manera subrepticia.

La característica distintiva

El que diferencia aquest atac és la seva capacitat per supervisar les connexions entrants del Protocol d'escriptori remot (RDP) i explotar una màquina remota si el mapatge de la unitat del client està habilitat. Un cop detectada una connexió de client RDP nova, RDStealer emet una ordre per extreure informació sensible, inclòs l'historial de navegació, les credencials i les claus privades, d'aplicacions com mRemoteNG, KeePass i Google Chrome. Això emfatitza que els actors de les amenaces apunten activament a les credencials i guarden connexions a altres sistemes, tal com va destacar Marin Zugec, investigador de Bitdefender, en una anàlisi separada. A més, els clients RDP que es connecten a les màquines compromeses capturen Logutil, un altre programari maliciós personalitzat basat en Golang.

Logutil utilitza tècniques de càrrega lateral de DLL per establir la persistència a la xarxa de la víctima i facilitar l'execució d'ordres. Hi ha informació limitada sobre l'actor de l'amenaça, excepte la seva activitat que es remunta al 2020. Zugec remarca la innovació contínua i la sofisticació en evolució dels ciberdelinqüents, que exploten tecnologies noves i establertes per dur a terme les seves activitats malicioses. Aquest atac serveix com a testimoni de la complexitat creixent de les amenaces cibernètiques modernes i de la capacitat dels actors de les amenaces per explotar tecnologies àmpliament adoptades.