Egy éven át tartó kiberkémkedés bemutatása: Az egyéni rosszindulatú RDStealer érdekes feltárása a célzott IT-cégben

Chance -ra Computer Security-ben

Fordítás ide:

Kiterjedt és aprólékosan megtervezett kibertámadás, amely egy kelet-ázsiai IT-céget céloz meg, rávilágított a fenyegetés szereplői által alkalmazott összetett taktikákra. Ezt a hosszú távú, több mint egy évig tartó műveletet egy kifinomult rosszindulatú programváltozat, az RDStealer, a Golang programozási nyelv használatával fejlesztették ki. A Bitdefender kutatója, Victor Vrabie technikai jelentésében bemutatott részletes megállapítások azt mutatják, hogy a támadás elsődleges célja az értékes hitelesítő adatok kompromittálása és az adatok kiszűrése volt.

A román kiberbiztonsági cég által összegyűjtött kiterjedt bizonyítékok arra utalnak, hogy a kampány 2022 elején indult, és a konkrét cél egy kelet-ázsiai informatikai vállalat, amelyet nem hoznak nyilvánosságra. Ez a kinyilatkoztatás éles emlékeztető a kiberfenyegetések fejlődő kifinomultságára és tartósságára a mai összekapcsolt világban.

Tartalomjegyzék

A Progresszió leleplezése

A művelet kezdeti szakaszában az olyan általános távoli hozzáférésű trójaiak, mint az AsyncRAT és a Cobalt Strike aktív szerepet játszottak. A támadás 2021 végén vagy 2022 elején előrehaladtával azonban egyedi tervezésű rosszindulatú programok léptek be, hogy elkerüljék az észlelést. Egy figyelemre méltó stratégia a biztonsági ellenőrzés alól mentesített Microsoft Windows mappák, például a System32 és a Program Files használata a hátsó ajtó rakományainak tárolására. Ennek a megközelítésnek a célja a biztonsági szoftverek korlátainak kihasználása és a támadás hatékonyságának növelése volt.

Egy adott almappa, amely jelentős szerepet játszott a támadásban, a "C:\Program Files\Dell\CommandUpdate", amely a Dell Command | Frissítés, egy legitim Dell-alkalmazás. Érdekes módon az incidens során az összes kompromittált gépet a Dell gyártotta, ami azt jelzi, hogy a fenyegetés szereplői szándékosan választották ezt a mappát rosszindulatú tevékenységeik álcájaként. Ezt a megfigyelést megerősíti az a tény, hogy a támadók olyan parancs- és vezérlési (C2) tartományokat regisztráltak, mint a "dell-a[.]ntp-update[.]com", amelyeket stratégiailag úgy terveztek, hogy zökkenőmentesen illeszkedjenek a célkörnyezetbe.

A behatolási kampány egy RDStealer néven ismert szerveroldali hátsó ajtót használ, amely arra specializálódott, hogy folyamatosan adatokat gyűjtsön a vágólapról és a fertőzött gazdagépen a billentyűleütéseket. Ez a viselkedés lehetővé teszi a fenyegetés szereplői számára, hogy titokban gyűjtsenek bizalmas információkat.

A megkülönböztető tulajdonság

Ez a támadás az, hogy képes figyelni a bejövő Remote Desktop Protocol (RDP) kapcsolatokat, és kihasználni egy távoli gépet, ha az ügyfélmeghajtó-leképezés engedélyezve van. Ha új RDP-kliens-kapcsolatot észlel, az RDStealer parancsot ad ki az érzékeny információk, köztük a böngészési előzmények, hitelesítő adatok és privát kulcsok kinyerésére az olyan alkalmazásokból, mint az mRemoteNG, a KeePass és a Google Chrome. Ez hangsúlyozza, hogy a fenyegetés szereplői aktívan megcélozzák a hitelesítő adatokat, és elmentik a kapcsolatokat más rendszerekkel, ahogyan Marin Zugec, a Bitdefender kutatója egy külön elemzésben kiemelte. Ezenkívül a feltört gépekhez csatlakozó RDP-kliensek elkapják a Logutil-t, egy másik egyedi Golang-alapú kártevőt.

A Logutil DLL oldalbetöltési technikákat alkalmaz az áldozat hálózaton belüli állandóság megteremtésére és a parancsok végrehajtásának megkönnyítésére. A fenyegetés szereplőiről korlátozott információ áll rendelkezésre, kivéve a 2020-ig nyúló tevékenységüket. Zugec megjegyzi a kiberbűnözők folyamatos innovációját és fejlődő kifinomultságát, akik új és bevált technológiákat használnak ki rosszindulatú tevékenységeik végrehajtására. Ez a támadás bizonyítja a modern kiberfenyegetések egyre összetettebbé válását és a fenyegetés szereplőinek azon képességét, hogy kihasználják a széles körben elfogadott technológiákat.