رونمایی از جاسوسی سایبری یک ساله: افشای جالب بدافزار سفارشی RDStealer در شرکت هدفمند فناوری اطلاعات
یک حمله سایبری گسترده و دقیق برنامه ریزی شده که یک شرکت فناوری اطلاعات در شرق آسیا را هدف قرار داده است، تاکتیک های پیچیده ای را که توسط بازیگران تهدید استفاده می شود، روشن می کند. این عملیات طولانی مدت، که بیش از یک سال به طول انجامید، با استقرار یک نوع بدافزار پیچیده، RDStealer، که با استفاده از زبان برنامه نویسی Golang توسعه یافته بود، سازماندهی شد. یافته های دقیق ارائه شده در یک گزارش فنی توسط محقق Bitdefender، ویکتور ورابی، نشان می دهد که هدف اصلی این حمله به خطر انداختن اعتبارنامه های ارزشمند و اجرای استخراج داده ها بوده است.
شواهد گستردهای که توسط شرکت امنیت سایبری رومانیایی جمعآوری شده است به آغاز این کمپین در اوایل سال 2022 اشاره میکند که هدف مشخص آن یک شرکت فناوری اطلاعات فاش نشده در شرق آسیا است. این افشاگری یادآور پیچیدگی در حال تکامل و تداوم تهدیدات سایبری در دنیای به هم پیوسته امروزی است.
فهرست مطالب
رونمایی از پیشرفت
در طی مراحل اولیه عملیات، تروجان های دسترسی از راه دور معمولی مانند AsyncRAT و Cobalt Strike نقش فعالی داشتند. با این حال، بدافزار طراحیشده سفارشی برای فرار از شناسایی با پیشرفت حمله در اواخر سال 2021 یا اوایل سال 2022 وارد عمل شد. یک استراتژی قابل توجه شامل استفاده از پوشههای ویندوز مایکروسافت معاف از اسکنهای امنیتی، مانند System32 و Program Files، برای ذخیره بارهای درپشتی بود. هدف این رویکرد سوء استفاده از محدودیت های نرم افزار امنیتی و افزایش اثربخشی حمله بود.
یک زیر پوشه خاص که نقش مهمی در حمله ایفا کرده است "C:\Program Files\Dell\CommandUpdate" است که به عنوان مکان برای Dell Command عمل می کند | به روز رسانی، یک برنامه قانونی Dell. جالب اینجاست که تمام ماشینهای آسیبدیده در طول این حادثه توسط دل ساخته شدهاند، که نشاندهنده انتخاب عمدی بازیگران تهدید برای استفاده از این پوشه به عنوان استتار برای فعالیتهای مخرب خود است. این مشاهدات با این واقعیت تقویت می شود که مهاجمان دامنه های فرمان و کنترل (C2) مانند "dell-a[.]ntp-update[.]com را ثبت کرده اند، که به طور استراتژیک برای ترکیب یکپارچه با محیط هدف طراحی شده است.
کمپین نفوذ از یک درب پشتی سمت سرور به نام RDStealer استفاده میکند که در جمعآوری مداوم دادهها از کلیپبورد و ضربههای کلید روی میزبان آلوده تخصص دارد. این رفتار به عوامل تهدید اجازه می دهد تا اطلاعات حساس را به صورت مخفیانه جمع آوری کنند.
ویژگی متمایز
چیزی که این حمله را متمایز می کند، توانایی آن برای نظارت بر اتصالات پروتکل دسکتاپ از راه دور (RDP) ورودی و سوء استفاده از یک ماشین راه دور در صورت فعال بودن نگاشت درایو کلاینت است. هنگامی که یک اتصال کلاینت RDP جدید شناسایی شد، RDStealer فرمانی برای استخراج اطلاعات حساس، از جمله تاریخچه مرور، اعتبارنامه ها و کلیدهای خصوصی، از برنامه هایی مانند mRemoteNG، KeePass و Google Chrome صادر می کند. همانطور که Marin Zugec، محقق در Bitdefender، در تجزیه و تحلیل جداگانه ای اشاره کرد، این تأکید می کند که عوامل تهدید به طور فعال اعتبارنامه ها را هدف قرار داده و اتصالات به سیستم های دیگر را ذخیره می کنند. علاوه بر این، کلاینتهای RDP که به ماشینهای آسیبدیده متصل میشوند، Logutil، یکی دیگر از بدافزارهای سفارشی مبتنی بر Golang را میگیرند.
Logutil از تکنیک های بارگذاری جانبی DLL برای ایجاد پایداری در شبکه قربانی و تسهیل اجرای فرمان استفاده می کند. اطلاعات محدودی در مورد عامل تهدید در دسترس است، به جز فعالیت آنها که به سال 2020 باز می گردد. زوگک به نوآوری مستمر و پیچیدگی در حال تکامل مجرمان سایبری اشاره می کند که از فناوری های جدید و جا افتاده برای انجام فعالیت های مخرب خود سوء استفاده می کنند. این حمله به عنوان شاهدی بر پیچیدگی روزافزون تهدیدات سایبری مدرن و توانایی بازیگران تهدید برای بهرهبرداری از فناوریهای پذیرفته شده است.
رونمایی از جاسوسی سایبری یک ساله: افشای جالب بدافزار سفارشی RDStealer در شرکت هدفمند فناوری اطلاعات اسکرین شات