एक साल लंबी साइबर जासूसी का अनावरण: लक्षित आईटी फर्म में कस्टम मालवेयर आरडीस्टीलर का दिलचस्प रहस्योद्घाटन

एक पूर्व एशियाई आईटी फर्म को लक्षित करने वाला एक व्यापक और सावधानीपूर्वक नियोजित साइबर हमला सामने आया है, जो खतरे के अभिनेताओं द्वारा नियोजित जटिल रणनीति पर प्रकाश डाल रहा है। एक वर्ष से अधिक समय तक चलने वाला यह दीर्घकालिक ऑपरेशन गोलंग प्रोग्रामिंग भाषा का उपयोग करके विकसित एक परिष्कृत मालवेयर वेरिएंट, RDStealer को तैनात करके किया गया था। बिटडेफेंडर के शोधकर्ता विक्टर व्राबी की एक तकनीकी रिपोर्ट में प्रस्तुत विस्तृत निष्कर्षों से पता चलता है कि हमले का प्राथमिक उद्देश्य मूल्यवान क्रेडेंशियल्स से समझौता करना और डेटा एक्सफिल्ट्रेशन को अंजाम देना था।

रोमानियाई साइबर सुरक्षा फर्म द्वारा एकत्र किए गए व्यापक साक्ष्य 2022 की शुरुआत में अभियान की शुरुआत की ओर इशारा करते हैं, जिसमें विशिष्ट लक्ष्य पूर्वी एशिया में एक अज्ञात आईटी कंपनी है। यह रहस्योद्घाटन आज की आपस में जुड़ी दुनिया में विकसित हो रहे परिष्कार और साइबर खतरों की दृढ़ता की याद दिलाता है।

प्रगति का अनावरण

ऑपरेशन के शुरुआती चरणों के दौरान, AsyncRAT और कोबाल्ट स्ट्राइक जैसे सामान्य रिमोट एक्सेस ट्रोजन ने सक्रिय भूमिका निभाई। हालाँकि, कस्टम-डिज़ाइन किए गए मैलवेयर ने पता लगाने से बचने के लिए कदम बढ़ाया क्योंकि 2021 के अंत या 2022 की शुरुआत में हमले की प्रगति हुई थी। बैकडोर पेलोड को स्टोर करने के लिए सिस्टम 32 और प्रोग्राम फाइल्स जैसे सुरक्षा स्कैन से छूट वाले माइक्रोसॉफ्ट विंडोज फोल्डर का उपयोग करने वाली एक उल्लेखनीय रणनीति। इस दृष्टिकोण का उद्देश्य सुरक्षा सॉफ्टवेयर की सीमाओं का फायदा उठाना और हमले की प्रभावशीलता को बढ़ाना है।

एक विशिष्ट उप-फ़ोल्डर जिसने हमले में महत्वपूर्ण भूमिका निभाई, वह है "C:\Program Files\Dell\CommandUpdate," जो डेल कमांड के लिए स्थान के रूप में कार्य करता है। अपडेट, एक वैध डेल एप्लिकेशन। दिलचस्प बात यह है कि पूरी घटना के दौरान सभी समझौता की गई मशीनें डेल-निर्मित थीं, जो इस फ़ोल्डर को उनकी दुर्भावनापूर्ण गतिविधियों के लिए छलावरण के रूप में उपयोग करने के लिए खतरे के अभिनेताओं द्वारा जानबूझकर पसंद का संकेत देती हैं। यह अवलोकन इस तथ्य से प्रबलित है कि हमलावरों ने "dell-a[.]ntp-update[.]com" जैसे कमांड-एंड-कंट्रोल (C2) डोमेन को पंजीकृत किया, जिसे रणनीतिक रूप से लक्षित वातावरण में समेकित रूप से मिश्रित करने के लिए डिज़ाइन किया गया था।

घुसपैठ अभियान एक सर्वर-साइड बैकडोर का उपयोग करता है जिसे RDStealer के रूप में जाना जाता है, जो संक्रमित होस्ट पर क्लिपबोर्ड और कीस्ट्रोक्स से लगातार डेटा एकत्र करने में माहिर है। यह व्यवहार खतरे के अभिनेताओं को गुप्त रूप से संवेदनशील जानकारी एकत्र करने की अनुमति देता है।

विशिष्ट विशेषता

इस हमले को जो अलग करता है वह आने वाले रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) कनेक्शन की निगरानी करने और क्लाइंट ड्राइव मैपिंग सक्षम होने पर रिमोट मशीन का शोषण करने की क्षमता है। एक बार नए RDP क्लाइंट कनेक्शन का पता चलने के बाद, RDStealer mRemoteNG, KeePass और Google Chrome जैसे एप्लिकेशन से ब्राउज़िंग इतिहास, क्रेडेंशियल्स और निजी कुंजियों सहित संवेदनशील जानकारी निकालने के लिए एक आदेश जारी करता है। यह इस बात पर जोर देता है कि खतरे के कारक सक्रिय रूप से क्रेडेंशियल्स को लक्षित करते हैं और अन्य प्रणालियों के लिए कनेक्शन बचाते हैं, जैसा कि बिटडेफेंडर के एक शोधकर्ता मारिन ज़ुगेक ने एक अलग विश्लेषण में उजागर किया है। इसके अतिरिक्त, समझौता किए गए मशीनों से कनेक्ट होने वाले RDP क्लाइंट लॉगुटिल, एक अन्य कस्टम गोलंग-आधारित मैलवेयर को पकड़ते हैं।

लॉगुटिल पीड़ित नेटवर्क के भीतर दृढ़ता स्थापित करने और कमांड निष्पादन की सुविधा के लिए डीएलएल साइड-लोडिंग तकनीकों को नियोजित करता है। 2020 तक की उनकी गतिविधि को छोड़कर, थ्रेट एक्टर के बारे में सीमित जानकारी उपलब्ध है। ज़ुगेक साइबर अपराधियों के निरंतर नवाचार और विकसित हो रहे परिष्कार पर टिप्पणी करता है, जो अपनी दुर्भावनापूर्ण गतिविधियों को अंजाम देने के लिए नई और स्थापित तकनीकों का फायदा उठाते हैं। यह हमला आधुनिक साइबर खतरों की बढ़ती जटिलता और व्यापक रूप से अपनाई गई तकनीकों का फायदा उठाने के लिए खतरे के अभिनेताओं की क्षमता के लिए एक वसीयतनामा के रूप में कार्य करता है।

एक साल लंबी साइबर जासूसी का अनावरण: लक्षित आईटी फर्म में कस्टम मालवेयर आरडीस्टीलर का दिलचस्प रहस्योद्घाटन स्क्रीनशॉट