חשיפת ריגול סייבר שנמשך שנה: גילוי מסקרן של RDStealer מותאם אישית של תוכנות זדוניות בחברת IT ממוקדת

עד Chance ב-Computer Security

לתרגם ל:

מתקפת סייבר נרחבת ומתוכננת בקפידה, המכוונת לחברת IT במזרח אסיה, עלתה, ושופכת אור על הטקטיקות המורכבות שננקטות על ידי גורמי האיום. פעולה ארוכת טווח זו, שנמשכה למעלה משנה, תוכננה על ידי פריסת גרסה מתוחכמת של תוכנות זדוניות, RDStealer, שפותחה באמצעות שפת התכנות Golang. ממצאים מפורטים שהוצגו בדו"ח טכני של חוקר Bitdefender Victor Vrabie חושפים שהמטרה העיקרית של המתקפה הייתה להתפשר על אישורים יקרי ערך ולבצע הוצאת נתונים.

עדויות נרחבות שנאספו על ידי חברת אבטחת הסייבר הרומנית מצביעות על התחלת הקמפיין בתחילת 2022, כשהיעד הספציפי הוא חברת IT לא ידועה במזרח אסיה. גילוי זה הוא תזכורת חדה לתחכום ולהתמדה המתפתחים של איומי סייבר בעולם המקושר הדדית של היום.

תוכן העניינים

חושפים את ההתקדמות

בשלבים הראשונים של הפעולה, טרויאנים נפוצים בגישה מרחוק כמו AsyncRAT ו- Cobalt Strike מילאו תפקיד פעיל. עם זאת, תוכנה זדונית מעוצבת נכנסה כדי להתחמק מזיהוי ככל שהתקיפה התקדמה בסוף 2021 או בתחילת 2022. אסטרטגיה בולטת כללה שימוש בתיקיות Microsoft Windows הפטורות מסריקות אבטחה, כגון System32 ו-Program Files, כדי לאחסן את המטענים בדלת האחורית. גישה זו נועדה לנצל את מגבלות תוכנת האבטחה ולשפר את יעילות המתקפה.

תת-תיקיה ספציפית שמילאה תפקיד משמעותי במתקפה היא "C:\Program Files\Dell\CommandUpdate", המשמשת כמיקום של Dell Command | עדכון, יישום לגיטימי של Dell. מעניין לציין שכל המכונות שנפרצו במהלך התקרית יוצרו מ-Dell, מה שמצביע על בחירה מכוונת של שחקני האיום להשתמש בתיקייה זו כהסוואה לפעילויות הזדוניות שלהם. תצפית זו מתחזקת על ידי העובדה שהתוקפים רשמו דומיינים של פיקוד ושליטה (C2) כמו "dell-a[.]ntp-update[.]com", שתוכננו באופן אסטרטגי להשתלב בצורה חלקה בסביבת היעד.

קמפיין החדירה משתמש בדלת אחורית בצד השרת המכונה RDStealer, המתמחה באיסוף רציף של נתונים מהלוח והקשות על המארח הנגוע. התנהגות זו מאפשרת לשחקני האיום לאסוף מידע רגיש בחשאי.

התכונה הייחודית

מה שמייחד את ההתקפה הזו הוא היכולת שלה לנטר חיבורי Remote Desktop Protocol (RDP) נכנסים ולנצל מחשב מרוחק אם מיפוי כונן לקוח מופעל. לאחר זיהוי חיבור לקוח RDP חדש, RDStealer מוציא פקודה לחילוץ מידע רגיש, כולל היסטוריית גלישה, אישורים ומפתחות פרטיים, מיישומים כמו mRemoteNG, KeePass ו-Google Chrome. זה מדגיש ששחקני איומים מכוונים באופן פעיל לאישורים וחוסכים חיבורים למערכות אחרות, כפי שהדגישה מארין צוג'ק, חוקרת ב-Bitdefender בניתוח נפרד. בנוסף, לקוחות RDP המתחברים למכונות שנפרצו תופסים את Logutil, תוכנה זדונית מותאמת אישית נוספת מבוססת גולנג.

Logutil משתמשת בטכניקות טעינת DLL בצד כדי לבסס התמדה ברשת הקורבן ולהקל על ביצוע פקודות. מידע מוגבל על שחקן האיום זמין, למעט פעילותם החל משנת 2020. Zugec מעיר על החדשנות המתמשכת והתחכום המתפתח של פושעי סייבר, המנצלים טכנולוגיות חדשות ומבוססות כדי לבצע את פעילותם הזדונית. מתקפה זו משמשת עדות למורכבות ההולכת וגוברת של איומי סייבר מודרניים וליכולתם של גורמי איומים לנצל טכנולוגיות מאומצות רבות.