Otkrivanje jednogodišnje cyber špijunaže: intrigantno otkriće prilagođenog zlonamjernog softvera RDStealer u ciljanoj IT tvrtki

Do Chance. Computer Security. godine

Prevedi na:

Pojavio se opsežan i pomno isplaniran kibernetički napad usmjeren na istočnoazijsku IT tvrtku, bacajući svjetlo na složene taktike koje koriste prijetnje. Ova dugotrajna operacija, koja je trajala više od godinu dana, orkestrirana je uvođenjem sofisticirane varijante zlonamjernog softvera, RDStealer, razvijene korištenjem programskog jezika Golang. Detaljni nalazi predstavljeni u tehničkom izvješću istraživača Bitdefendera Victora Vrabiea otkrivaju da je primarni cilj napada bio kompromitirati vrijedne vjerodajnice i izvršiti eksfiltraciju podataka.

Opsežni dokazi koje je prikupila rumunjska tvrtka za kibernetičku sigurnost upućuju na početak kampanje početkom 2022., a specifična meta bila je neobjavljena IT tvrtka u istočnoj Aziji. Ovo otkriće snažan je podsjetnik na sofisticiranost i postojanost cyber prijetnji u današnjem međusobno povezanom svijetu.

Sadržaj

Otkrivanje progresije

Tijekom početnih faza operacije, uobičajeni trojanci s daljinskim pristupom kao što su AsyncRAT i Cobalt Strike igrali su aktivnu ulogu. Međutim, prilagođeno dizajniran zlonamjerni softver uskočio je kako bi izbjegao otkrivanje kako je napad napredovao krajem 2021. ili početkom 2022. Značajna strategija uključivala je korištenje Microsoft Windows mapa izuzetih iz sigurnosnih skeniranja, kao što su System32 i Program Files, za pohranjivanje backdoor sadržaja. Cilj ovog pristupa bio je iskoristiti ograničenja sigurnosnog softvera i povećati učinkovitost napada.

Posebna podmapa koja je odigrala značajnu ulogu u napadu je "C:\Program Files\Dell\CommandUpdate," koja služi kao lokacija za Dell Command | Ažuriranje, legitimna Dell aplikacija. Zanimljivo je da su svi kompromitirani strojevi tijekom incidenta proizvedeni u tvrtki Dell, što ukazuje na namjerni izbor aktera prijetnje da iskoriste ovu mapu kao kamuflažu za svoje zlonamjerne aktivnosti. Ovo zapažanje je pojačano činjenicom da su napadači registrirali domene za naredbu i kontrolu (C2) kao što je "dell-a[.]ntp-update[.]com," strateški dizajnirane da se besprijekorno uklope u ciljno okruženje.

Kampanja upada koristi backdoor na strani poslužitelja poznat kao RDStealer, koji je specijaliziran za kontinuirano prikupljanje podataka iz međuspremnika i pritisaka tipki na zaraženom računalu. Ovakvo ponašanje omogućuje akterima prijetnji da potajno prikupljaju osjetljive informacije.

Posebnost

Ono što izdvaja ovaj napad je njegova sposobnost da nadzire dolazne veze protokola udaljene radne površine (RDP) i iskorištava udaljeno računalo ako je mapiranje pogona klijenta omogućeno. Nakon što se otkrije nova veza RDP klijenta, RDStealer izdaje naredbu za izdvajanje osjetljivih informacija, uključujući povijest pregledavanja, vjerodajnice i privatne ključeve, iz aplikacija kao što su mRemoteNG, KeePass i Google Chrome. To naglašava da akteri prijetnji aktivno ciljaju vjerodajnice i spremaju veze s drugim sustavima, kao što je Marin Žugec, istraživač u Bitdefenderu, naglasio u zasebnoj analizi. Osim toga, RDP klijenti koji se spajaju na kompromitirana računala hvataju Logutil, još jedan prilagođeni malware temeljen na Golangu.

Logutil koristi tehnike bočnog učitavanja DLL-a kako bi uspostavio postojanost unutar mreže žrtve i olakšao izvršenje naredbi. Dostupne su ograničene informacije o akteru prijetnje, osim o njihovoj aktivnosti koja datira od 2020. Žugec primjećuje kontinuiranu inovaciju i sofisticiranost kibernetičkih kriminalaca koji iskorištavaju nove i etablirane tehnologije za izvođenje svojih zloćudnih aktivnosti. Ovaj napad služi kao dokaz sve veće složenosti modernih cyber prijetnji i sposobnosti aktera prijetnji da iskoriste široko prihvaćene tehnologije.