Afsløring af en årelang cyberspionage: Spændende afsløring af Custom Malware RDStealer i målrettet it-firma
Et omfattende og omhyggeligt planlagt cyberangreb rettet mod et østasiatisk it-firma er dukket op og kaster lys over den komplekse taktik, som trusselsaktørerne anvender. Denne langsigtede operation, der varede over et år, blev orkestreret ved at implementere en sofistikeret malware-variant, RDStealer, udviklet ved hjælp af Golang-programmeringssproget. Detaljerede resultater præsenteret i en teknisk rapport af Bitdefender-forsker Victor Vrabie afslører, at det primære formål med angrebet var at kompromittere værdifulde legitimationsoplysninger og udføre dataeksfiltrering.
Omfattende beviser indsamlet af det rumænske cybersikkerhedsfirma peger på, at kampagnen blev indledt i begyndelsen af 2022, hvor det specifikke mål er en ikke-oplyst it-virksomhed i Østasien. Denne afsløring er en skarp påmindelse om den udviklende sofistikering og vedvarende af cybertrusler i nutidens indbyrdes forbundne verden.
Indholdsfortegnelse
Afsløring af Progressionen
I de indledende faser af operationen spillede almindelige fjernadgangstrojanere som AsyncRAT og Cobalt Strike en aktiv rolle. Men specialdesignet malware trådte ind for at unddrage sig opdagelse, efterhånden som angrebet skred frem i slutningen af 2021 eller begyndelsen af 2022. En bemærkelsesværdig strategi involverede at bruge Microsoft Windows-mapper undtaget fra sikkerhedsscanninger, såsom System32 og Program Files, til at gemme bagdørens nyttelast. Denne tilgang havde til formål at udnytte sikkerhedssoftwarens begrænsninger og øge angrebets effektivitet.
En specifik undermappe, der spillede en væsentlig rolle i angrebet, er "C:\Program Files\Dell\CommandUpdate", som fungerer som placeringen for Dell Command | Update, en legitim Dell-applikation. Interessant nok var alle de kompromitterede maskiner under hændelsen Dell-fremstillede, hvilket indikerer et bevidst valg fra trusselsaktørerne om at bruge denne mappe som en camouflage for deres ondsindede aktiviteter. Denne observation forstærkes af det faktum, at angriberne registrerede kommando-og-kontrol (C2) domæner som "dell-a[.]ntp-update[.]com," strategisk designet til at blande sig problemfrit ind i målmiljøet.
Indbrudskampagnen bruger en server-side bagdør kendt som RDStealer, som er specialiseret i løbende at indsamle data fra udklipsholderen og tastetryk på den inficerede vært. Denne adfærd gør det muligt for trusselsaktørerne at indsamle følsomme oplysninger i det skjulte.
Det karakteristiske træk
Det, der adskiller dette angreb, er dets evne til at overvåge indgående RDP-forbindelser (Remote Desktop Protocol) og udnytte en fjernmaskine, hvis kortlægning af klientdrev er aktiveret. Når en ny RDP-klientforbindelse er fundet, udsteder RDStealer en kommando til at udtrække følsomme oplysninger, herunder browserhistorik, legitimationsoplysninger og private nøgler, fra applikationer som mRemoteNG, KeePass og Google Chrome. Det understreger, at trusselsaktører aktivt målretter legitimationsoplysninger og gemmer forbindelser til andre systemer, som Marin Zugec, en forsker hos Bitdefender, fremhævede i en separat analyse. Derudover fanger RDP-klienter, der forbinder til de kompromitterede maskiner, Logutil, en anden tilpasset Golang-baseret malware.
Logutil anvender DLL-sideindlæsningsteknikker til at etablere persistens i offernetværket og lette kommandoudførelsen. Begrænset information om trusselsaktøren er tilgængelig, bortset fra deres aktivitet, der går tilbage til 2020. Zugec bemærker den kontinuerlige innovation og udviklende sofistikering af cyberkriminelle, som udnytter nye og etablerede teknologier til at udføre deres ondsindede aktiviteter. Dette angreb tjener som et vidnesbyrd om den stigende kompleksitet af moderne cybertrusler og trusselsaktørers evne til at udnytte bredt anvendte teknologier.
Afsløring af en årelang cyberspionage: Spændende afsløring af Custom Malware RDStealer i målrettet it-firma Skærmbilleder
