Aastapikkuse küberspionaaži avalikustamine: kohandatud pahavara RDStealeri intrigeeriv paljastamine sihitud IT-ettevõttes

Aastaks Chance aastal Computer Security

Tõlgi:

Ilmnes ulatuslik ja hoolikalt kavandatud küberrünnak Ida-Aasia IT-ettevõttele, mis heidab valgust ohus osalejate kasutatavatele keerukatele taktikatele. See pikaajaline, üle aasta kestnud operatsioon korraldati Golangi programmeerimiskeele abil välja töötatud keeruka pahavara variandi RDStealeri juurutamisega. Bitdefenderi uurija Victor Vrabie tehnilises aruandes esitatud üksikasjalikud leiud näitavad, et rünnaku peamine eesmärk oli kahjustada väärtuslikke mandaate ja viia läbi andmete väljafiltreerimine.

Rumeenia küberjulgeolekufirma kogutud ulatuslikud tõendid viitavad kampaania algatamisele 2022. aasta alguses, mille konkreetne sihtmärk on avalikustamata IT-ettevõte Ida-Aasias. See ilmutus tuletab teravalt meelde küberohtude keerukust ja püsivust tänapäevases omavahel seotud maailmas.

Sisukord

Progressiooni avalikustamine

Operatsiooni algfaasis mängisid aktiivset rolli tavalised kaugjuurdepääsu troojalased, nagu AsyncRAT ja Cobalt Strike . Rünnaku edenedes 2021. aasta lõpus või 2022. aasta alguses astus aga avastamisest kõrvale spetsiaalselt loodud pahavara. Märkimisväärne strateegia hõlmas turvakontrollist vabastatud Microsoft Windowsi kaustade (nt System32 ja Program Files) kasutamist tagaukse kasulike koormuste salvestamiseks. Selle lähenemisviisi eesmärk oli kasutada turvatarkvara piiranguid ja suurendada rünnaku tõhusust.

Konkreetne alamkaust, mis mängis rünnakus olulist rolli, on "C:\Program Files\Dell\CommandUpdate", mis on Dell Command | Värskendus, seaduslik Delli rakendus. Huvitav on see, et kõik intsidendi jooksul ohustatud masinad olid Delli toodetud, mis viitab ohus osalejate tahtlikule valikule kasutada seda kausta oma pahatahtliku tegevuse kamuflaažina. Seda tähelepanekut tugevdab tõsiasi, et ründajad registreerisid käsu-ja juhtimise (C2) domeenid, nagu "dell-a[.]ntp-update[.]com", mis on strateegiliselt kavandatud sulanduma sujuvalt sihtkeskkonda.

Sissetungikampaania kasutab serveripoolset tagaust, mida tuntakse nime all RDStealer, mis on spetsialiseerunud pidevale lõikepuhvrilt andmete kogumisele ja nakatunud hosti klahvivajutustele. Selline käitumine võimaldab ohus osalejatel koguda salaja tundlikku teavet.

Eripära

Selle rünnaku eristab selle võime jälgida sissetulevaid kaugtöölauaprotokolli (RDP) ühendusi ja kasutada kaugmasinat, kui kliendidraivi vastendamine on lubatud. Kui tuvastatakse uus RDP-kliendiühendus, annab RDStealer käsu tundliku teabe, sealhulgas sirvimisajaloo, mandaatide ja privaatvõtmete hankimiseks sellistest rakendustest nagu mRemoteNG, KeePass ja Google Chrome. See rõhutab, et ohus osalejad sihivad aktiivselt mandaate ja salvestavad ühendusi teiste süsteemidega, nagu Bitdefenderi teadlane Marin Zugec eraldi analüüsis rõhutas. Lisaks tabavad ohustatud masinatega ühenduse loovad RDP kliendid Logutili, teise kohandatud Golangil põhineva pahavara.

Logutil kasutab DLL-i külglaadimise tehnikaid, et luua ohvrivõrgus püsivus ja hõlbustada käskude täitmist. Ohuteguri kohta on saadaval piiratud teave, välja arvatud nende tegevuse kohta aastast 2020. Zugec märgib küberkurjategijate pidevat innovatsiooni ja arenevat keerukust, kes kasutavad oma pahatahtlike tegevuste läbiviimiseks ära uusi ja väljakujunenud tehnoloogiaid. See rünnak annab tunnistust tänapäevaste küberohtude keerukusest ja ohus osalejate võimest kasutada laialdaselt kasutusele võetud tehnoloogiaid.