Αποκάλυψη μιας μακροχρόνιας κυβερνοκατασκοπείας: Συναρπαστική αποκάλυψη του προσαρμοσμένου κακόβουλου λογισμικού RDStealer σε στοχευμένη εταιρεία πληροφορικής
Μια εκτεταμένη και σχολαστικά σχεδιασμένη επίθεση στον κυβερνοχώρο που στόχευε μια εταιρεία πληροφορικής της Ανατολικής Ασίας εμφανίστηκε, ρίχνοντας φως στις περίπλοκες τακτικές που χρησιμοποιούν οι φορείς απειλών. Αυτή η μακροχρόνια λειτουργία, που διήρκεσε πάνω από ένα χρόνο, ενορχηστρώθηκε με την ανάπτυξη μιας εξελιγμένης παραλλαγής κακόβουλου λογισμικού, το RDStealer, που αναπτύχθηκε χρησιμοποιώντας τη γλώσσα προγραμματισμού Golang. Λεπτομερή ευρήματα που παρουσιάστηκαν σε μια τεχνική έκθεση από τον ερευνητή του Bitdefender, Victor Vrabie, αποκαλύπτουν ότι ο πρωταρχικός στόχος της επίθεσης ήταν να θέσει σε κίνδυνο πολύτιμα διαπιστευτήρια και να εκτελέσει την εξαγωγή δεδομένων.
Εκτεταμένα στοιχεία που συγκέντρωσε η ρουμανική εταιρεία κυβερνοασφάλειας δείχνουν την έναρξη της εκστρατείας στις αρχές του 2022, με συγκεκριμένο στόχο να είναι μια άγνωστη εταιρεία πληροφορικής στην Ανατολική Ασία. Αυτή η αποκάλυψη είναι μια έντονη υπενθύμιση της εξελισσόμενης πολυπλοκότητας και εμμονής των απειλών στον κυβερνοχώρο στον σημερινό διασυνδεδεμένο κόσμο.
Πίνακας περιεχομένων
Αποκάλυψη της Προόδου
Κατά τα αρχικά στάδια της επιχείρησης, κοινά trojan απομακρυσμένης πρόσβασης όπως το AsyncRAT και το Cobalt Strike έπαιξαν ενεργό ρόλο. Ωστόσο, εξατομικευμένο κακόβουλο λογισμικό παρενέβη για να αποφύγει τον εντοπισμό καθώς η επίθεση εξελίχθηκε στα τέλη του 2021 ή στις αρχές του 2022. Μια αξιοσημείωτη στρατηγική περιλάμβανε τη χρήση φακέλων των Microsoft Windows που εξαιρούνταν από σαρώσεις ασφαλείας, όπως το System32 και τα Αρχεία Προγράμματος, για την αποθήκευση των ωφέλιμων φορτίων της κερκόπορτας. Αυτή η προσέγγιση είχε στόχο να εκμεταλλευτεί τους περιορισμούς του λογισμικού ασφαλείας και να ενισχύσει την αποτελεσματικότητα της επίθεσης.
Ένας συγκεκριμένος υποφάκελος που έπαιξε σημαντικό ρόλο στην επίθεση είναι ο "C:\Program Files\Dell\CommandUpdate", ο οποίος χρησιμεύει ως τοποθεσία για το Dell Command | Ενημέρωση, μια νόμιμη εφαρμογή της Dell. Είναι ενδιαφέρον ότι όλα τα παραβιασμένα μηχανήματα καθ' όλη τη διάρκεια του περιστατικού κατασκευάστηκαν από την Dell, υποδηλώνοντας μια σκόπιμη επιλογή των παραγόντων απειλών να χρησιμοποιήσουν αυτόν τον φάκελο ως καμουφλάζ για τις κακόβουλες δραστηριότητές τους. Αυτή η παρατήρηση ενισχύεται από το γεγονός ότι οι επιτιθέμενοι κατέγραψαν τομείς εντολών και ελέγχου (C2) όπως το "dell-a[.]ntp-update[.]com", στρατηγικά σχεδιασμένοι για να συνδυάζονται απρόσκοπτα στο περιβάλλον στόχο.
Η καμπάνια εισβολής χρησιμοποιεί μια κερκόπορτα από την πλευρά του διακομιστή, γνωστή ως RDStealer, η οποία ειδικεύεται στη συνεχή συλλογή δεδομένων από το πρόχειρο και πατήματα πλήκτρων στον μολυσμένο κεντρικό υπολογιστή. Αυτή η συμπεριφορά επιτρέπει στους παράγοντες της απειλής να συλλέγουν ευαίσθητες πληροφορίες κρυφά.
Το διακριτικό χαρακτηριστικό
Αυτό που ξεχωρίζει αυτή την επίθεση είναι η ικανότητά της να παρακολουθεί τις εισερχόμενες συνδέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) και να εκμεταλλεύεται ένα απομακρυσμένο μηχάνημα εάν είναι ενεργοποιημένη η αντιστοίχιση μονάδας πελάτη. Μόλις εντοπιστεί μια νέα σύνδεση πελάτη RDP, το RDStealer εκδίδει μια εντολή εξαγωγής ευαίσθητων πληροφοριών, συμπεριλαμβανομένων ιστορικού περιήγησης, διαπιστευτηρίων και ιδιωτικών κλειδιών, από εφαρμογές όπως το mRemoteNG, το KeePass και το Google Chrome. Αυτό τονίζει ότι οι φορείς απειλών στοχεύουν ενεργά τα διαπιστευτήρια και αποθηκεύουν συνδέσεις με άλλα συστήματα, όπως τόνισε ο Marin Zugec, ερευνητής στο Bitdefender, σε ξεχωριστή ανάλυση. Επιπλέον, οι πελάτες RDP που συνδέονται με τα παραβιασμένα μηχανήματα πιάνουν το Logutil, ένα άλλο προσαρμοσμένο κακόβουλο λογισμικό που βασίζεται στο Golang.
Το Logutil χρησιμοποιεί τεχνικές πλευρικής φόρτωσης DLL για να εδραιώσει την επιμονή στο δίκτυο του θύματος και να διευκολύνει την εκτέλεση εντολών. Υπάρχουν περιορισμένες πληροφορίες σχετικά με τον παράγοντα απειλής, εκτός από τη δραστηριότητά του που χρονολογείται από το 2020. Ο Zugec σημειώνει τη συνεχή καινοτομία και την εξελισσόμενη πολυπλοκότητα των εγκληματιών του κυβερνοχώρου, οι οποίοι εκμεταλλεύονται νέες και καθιερωμένες τεχνολογίες για να πραγματοποιήσουν τις κακόβουλες δραστηριότητές τους. Αυτή η επίθεση χρησιμεύει ως απόδειξη της αυξανόμενης πολυπλοκότητας των σύγχρονων απειλών στον κυβερνοχώρο και της ικανότητας των παραγόντων απειλών να εκμεταλλεύονται ευρέως υιοθετημένες τεχνολογίες.
Αποκάλυψη μιας μακροχρόνιας κυβερνοκατασκοπείας: Συναρπαστική αποκάλυψη του προσαρμοσμένου κακόβουλου λογισμικού RDStealer σε στοχευμένη εταιρεία πληροφορικής Στιγμιότυπα οθόνης
