Vuoden kestävän kybervakoilun paljastaminen: kiehtova paljastus räätälöidyn haittaohjelman RDStealer -sovelluksesta kohdennetussa IT-yrityksessä
Itä-Aasialaiseen IT-yritykseen kohdistuva laaja ja huolellisesti suunniteltu kyberhyökkäys on paljastanut uhkatoimijoiden käyttämät monimutkaiset taktiikat. Tämä pitkäaikainen, yli vuoden kestänyt toiminta organisoitiin ottamalla käyttöön kehittynyt haittaohjelmavariantti, RDStealer, joka on kehitetty Golang-ohjelmointikielellä. Bitdefenderin tutkijan Victor Vrabien teknisessä raportissa esitetyt yksityiskohtaiset havainnot paljastavat, että hyökkäyksen ensisijainen tavoite oli vaarantaa arvokkaat tunnistetiedot ja suorittaa tietojen suodattaminen.
Romanialaisen kyberturvallisuusyrityksen keräämät laajat todisteet viittaavat siihen, että kampanja käynnistettiin vuoden 2022 alussa, ja kohteena on Itä-Aasiassa julkistamaton IT-yritys. Tämä paljastus on jyrkkä muistutus kyberuhkien kehittyvästä kehittymisestä ja jatkuvuudesta nykypäivän toisiinsa kytkeytyneessä maailmassa.
Sisällysluettelo
Progression paljastaminen
Toiminnan alkuvaiheissa yleiset etäkäyttötroijalaiset, kuten AsyncRAT ja Cobalt Strike, olivat aktiivisesti mukana. Räätälöidyt haittaohjelmat kuitenkin puuttuivat havaitsemisen estämiseksi hyökkäyksen edetessä vuoden 2021 lopulla tai vuoden 2022 alussa. Merkittävä strategia sisälsi suojaustarkistuksista vapautettujen Microsoft Windows -kansioiden, kuten System32- ja Program Files, hyödyntämisen takaoven hyötykuormien tallentamiseen. Tällä lähestymistavalla pyrittiin hyödyntämään tietoturvaohjelmistojen rajoituksia ja parantamaan hyökkäyksen tehokkuutta.
Erityinen alikansio, jolla oli merkittävä rooli hyökkäyksessä, on "C:\Program Files\Dell\CommandUpdate", joka toimii Dell Command | Päivitys, laillinen Dell-sovellus. Mielenkiintoista on, että kaikki vaarantuneet koneet koko tapahtuman aikana olivat Dellin valmistamia, mikä osoittaa uhkatoimijoiden tahallisen valinnan käyttää tätä kansiota haitallisten toimintojensa naamiointina. Tätä havaintoa vahvistaa se tosiasia, että hyökkääjät rekisteröivät komento- ja ohjausalueita (C2), kuten "dell-a[.]ntp-update[.]com", jotka on strategisesti suunniteltu sulautumaan saumattomasti kohdeympäristöön.
Tunkeutumiskampanjassa käytetään palvelinpuolen takaovea, joka tunnetaan nimellä RDStealer, joka on erikoistunut jatkuvasti keräämään tietoja leikepöydältä ja näppäinpainalluksia tartunnan saaneesta isännästä. Tämän toiminnan ansiosta uhkatekijät voivat kerätä arkaluonteisia tietoja salaa.
Erottuva ominaisuus
Tämän hyökkäyksen erottaa sen kyky valvoa saapuvia Remote Desktop Protocol (RDP) -yhteyksiä ja hyödyntää etäkonetta, jos asiakasaseman kartoitus on käytössä. Kun uusi RDP-asiakasyhteys havaitaan, RDStealer antaa komennon poimia arkaluonteisia tietoja, mukaan lukien selaushistorian, tunnistetiedot ja yksityiset avaimet, sovelluksista, kuten mRemoteNG, KeePass ja Google Chrome. Tämä korostaa, että uhkatoimijat kohdistavat aktiivisesti tunnistetietoja ja säästävät yhteyksiä muihin järjestelmiin, kuten Bitdefenderin tutkija Marin Zugec korosti erillisessä analyysissä. Lisäksi RDP-asiakkaat, jotka muodostavat yhteyden vaarantuneisiin koneisiin, saavat kiinni Logutilin, toisen mukautetun Golang-pohjaisen haittaohjelman.
Logutil käyttää DLL-sivulataustekniikoita pysyvyyden luomiseksi uhriverkossa ja helpottaakseen komentojen suorittamista. Uhkatoimijasta on saatavilla rajoitetusti tietoa, lukuun ottamatta heidän toimintaansa vuodelta 2020. Zugec huomauttaa kyberrikollisten jatkuvasta innovoinnista ja kehittyvästä hienostuneisuudesta, koska he käyttävät hyväkseen uusia ja vakiintuneita tekniikoita haitallisten toimintojensa toteuttamiseen. Tämä hyökkäys on osoitus nykyaikaisten kyberuhkien lisääntyvästä monimutkaisuudesta ja uhkatoimijoiden kyvystä hyödyntää laajalti hyväksyttyjä teknologioita.
Vuoden kestävän kybervakoilun paljastaminen: kiehtova paljastus räätälöidyn haittaohjelman RDStealer -sovelluksesta kohdennetussa IT-yrityksessä kuvakaappausta
