رونمایی از جاسوسی سایبری یک ساله: افشای جالب بدافزار سفارشی RDStealer در شرکت هدفمند فناوری اطلاعات

تا Chance در Computer Security

ترجمه به:

یک حمله سایبری گسترده و دقیق برنامه ریزی شده که یک شرکت فناوری اطلاعات در شرق آسیا را هدف قرار داده است، تاکتیک های پیچیده ای را که توسط بازیگران تهدید استفاده می شود، روشن می کند. این عملیات طولانی مدت، که بیش از یک سال به طول انجامید، با استقرار یک نوع بدافزار پیچیده، RDStealer، که با استفاده از زبان برنامه نویسی Golang توسعه یافته بود، سازماندهی شد. یافته های دقیق ارائه شده در یک گزارش فنی توسط محقق Bitdefender، ویکتور ورابی، نشان می دهد که هدف اصلی این حمله به خطر انداختن اعتبارنامه های ارزشمند و اجرای استخراج داده ها بوده است.

شواهد گسترده‌ای که توسط شرکت امنیت سایبری رومانیایی جمع‌آوری شده است به آغاز این کمپین در اوایل سال 2022 اشاره می‌کند که هدف مشخص آن یک شرکت فناوری اطلاعات فاش نشده در شرق آسیا است. این افشاگری یادآور پیچیدگی در حال تکامل و تداوم تهدیدات سایبری در دنیای به هم پیوسته امروزی است.

فهرست مطالب

رونمایی از پیشرفت

در طی مراحل اولیه عملیات، تروجان های دسترسی از راه دور معمولی مانند AsyncRAT و Cobalt Strike نقش فعالی داشتند. با این حال، بدافزار طراحی‌شده سفارشی برای فرار از شناسایی با پیشرفت حمله در اواخر سال 2021 یا اوایل سال 2022 وارد عمل شد. یک استراتژی قابل توجه شامل استفاده از پوشه‌های ویندوز مایکروسافت معاف از اسکن‌های امنیتی، مانند System32 و Program Files، برای ذخیره بارهای درپشتی بود. هدف این رویکرد سوء استفاده از محدودیت های نرم افزار امنیتی و افزایش اثربخشی حمله بود.

یک زیر پوشه خاص که نقش مهمی در حمله ایفا کرده است "C:\Program Files\Dell\CommandUpdate" است که به عنوان مکان برای Dell Command عمل می کند | به روز رسانی، یک برنامه قانونی Dell. جالب اینجاست که تمام ماشین‌های آسیب‌دیده در طول این حادثه توسط دل ساخته شده‌اند، که نشان‌دهنده انتخاب عمدی بازیگران تهدید برای استفاده از این پوشه به عنوان استتار برای فعالیت‌های مخرب خود است. این مشاهدات با این واقعیت تقویت می شود که مهاجمان دامنه های فرمان و کنترل (C2) مانند "dell-a[.]ntp-update[.]com را ثبت کرده اند، که به طور استراتژیک برای ترکیب یکپارچه با محیط هدف طراحی شده است.

کمپین نفوذ از یک درب پشتی سمت سرور به نام RDStealer استفاده می‌کند که در جمع‌آوری مداوم داده‌ها از کلیپ‌بورد و ضربه‌های کلید روی میزبان آلوده تخصص دارد. این رفتار به عوامل تهدید اجازه می دهد تا اطلاعات حساس را به صورت مخفیانه جمع آوری کنند.

ویژگی متمایز

چیزی که این حمله را متمایز می کند، توانایی آن برای نظارت بر اتصالات پروتکل دسکتاپ از راه دور (RDP) ورودی و سوء استفاده از یک ماشین راه دور در صورت فعال بودن نگاشت درایو کلاینت است. هنگامی که یک اتصال کلاینت RDP جدید شناسایی شد، RDStealer فرمانی برای استخراج اطلاعات حساس، از جمله تاریخچه مرور، اعتبارنامه ها و کلیدهای خصوصی، از برنامه هایی مانند mRemoteNG، KeePass و Google Chrome صادر می کند. همانطور که Marin Zugec، محقق در Bitdefender، در تجزیه و تحلیل جداگانه ای اشاره کرد، این تأکید می کند که عوامل تهدید به طور فعال اعتبارنامه ها را هدف قرار داده و اتصالات به سیستم های دیگر را ذخیره می کنند. علاوه بر این، کلاینت‌های RDP که به ماشین‌های آسیب‌دیده متصل می‌شوند، Logutil، یکی دیگر از بدافزارهای سفارشی مبتنی بر Golang را می‌گیرند.

Logutil از تکنیک های بارگذاری جانبی DLL برای ایجاد پایداری در شبکه قربانی و تسهیل اجرای فرمان استفاده می کند. اطلاعات محدودی در مورد عامل تهدید در دسترس است، به جز فعالیت آنها که به سال 2020 باز می گردد. زوگک به نوآوری مستمر و پیچیدگی در حال تکامل مجرمان سایبری اشاره می کند که از فناوری های جدید و جا افتاده برای انجام فعالیت های مخرب خود سوء استفاده می کنند. این حمله به عنوان شاهدی بر پیچیدگی روزافزون تهدیدات سایبری مدرن و توانایی بازیگران تهدید برای بهره‌برداری از فناوری‌های پذیرفته شده است.