Odhalení celoroční kybernetické špionáže: Zajímavé odhalení vlastního malwaru RDStealer v cílené IT firmě
Přišel rozsáhlý a pečlivě naplánovaný kybernetický útok zaměřený na východoasijskou IT firmu, který vrhl světlo na složitou taktiku používanou aktéry hrozeb. Tato dlouhodobá operace, trvající přes rok, byla organizována nasazením sofistikované varianty malwaru, RDStealer, vyvinuté pomocí programovacího jazyka Golang. Podrobná zjištění prezentovaná v technické zprávě výzkumníka Bitdefender Victora Vrabieho odhalují, že primárním cílem útoku bylo kompromitovat cenné přihlašovací údaje a provést exfiltraci dat.
Rozsáhlé důkazy shromážděné rumunskou firmou zabývající se kybernetickou bezpečností poukazují na zahájení kampaně na začátku roku 2022, přičemž konkrétním cílem je nezveřejněná IT společnost ve východní Asii. Toto odhalení je ostrou připomínkou vyvíjející se sofistikovanosti a přetrvávání kybernetických hrozeb v dnešním propojeném světě.
Obsah
Odhalení Progrese
Během počátečních fází operace sehrály aktivní roli běžné trojské koně pro vzdálený přístup jako AsyncRAT a Cobalt Strike . Na konci roku 2021 nebo počátkem roku 2022 se však objevil malware navržený na míru, aby se vyhnul detekci. Pozoruhodná strategie zahrnovala využití složek Microsoft Windows vyňatých z bezpečnostních kontrol, jako jsou System32 a Program Files, k ukládání dat pro zadní vrátka. Cílem tohoto přístupu bylo využít omezení bezpečnostního softwaru a zvýšit efektivitu útoku.
Konkrétní podsložka, která hrála významnou roli v útoku, je „C:\Program Files\Dell\CommandUpdate“, která slouží jako umístění pro Dell Command | Aktualizace, legitimní aplikace Dell. Zajímavé je, že všechny kompromitované počítače během incidentu byly vyrobeny společností Dell, což naznačuje záměrnou volbu aktérů hrozeb využít tuto složku jako kamufláž pro své škodlivé aktivity. Toto pozorování je posíleno skutečností, že útočníci zaregistrovali domény příkazů a řízení (C2), jako je „dell-a[.]ntp-update[.]com, strategicky navržené tak, aby hladce zapadly do cílového prostředí.
Kampaň proti průniku využívá zadní vrátka na straně serveru známá jako RDStealer, která se specializuje na nepřetržité shromažďování dat ze schránky a stisknutí kláves na infikovaném hostiteli. Toto chování umožňuje aktérům hrozby tajně shromažďovat citlivé informace.
Charakteristický rys
To, co odlišuje tento útok, je jeho schopnost monitorovat příchozí připojení protokolu RDP (Remote Desktop Protocol) a využívat vzdálený počítač, pokud je povoleno mapování klientských jednotek. Jakmile je detekováno nové připojení klienta RDP, vydá RDStealer příkaz k extrahování citlivých informací, včetně historie procházení, přihlašovacích údajů a soukromých klíčů, z aplikací jako mRemoteNG, KeePass a Google Chrome. To zdůrazňuje, že aktéři hrozeb aktivně cílí na přihlašovací údaje a ukládají připojení k jiným systémům, jak zdůraznil Marin Zugec, výzkumník ve společnosti Bitdefender, v samostatné analýze. Klienti RDP, kteří se připojují k napadeným strojům, navíc zachytí Logutil, další vlastní malware založený na Golangu.
Logutil využívá techniky bočního načítání DLL k zajištění stálosti v síti oběti a usnadnění provádění příkazů. K dispozici jsou omezené informace o aktérovi hrozby, s výjimkou jejich aktivity datované do roku 2020. Zugec poznamenává o neustálých inovacích a vyvíjející se sofistikovanosti kyberzločinců, kteří využívají nové a zavedené technologie k provádění svých škodlivých aktivit. Tento útok je důkazem rostoucí složitosti moderních kybernetických hrozeb a schopnosti aktérů hrozeb využívat široce přijímané technologie.
Odhalení celoroční kybernetické špionáže: Zajímavé odhalení vlastního malwaru RDStealer v cílené IT firmě snímků obrazovky
