Svelamento di un anno di spionaggio informatico: intrigante rivelazione del malware personalizzato RDStealer in un'azienda IT presa di mira

Entro Chance nel Computer Security

Traduci in:

È emerso un attacco informatico esteso e meticolosamente pianificato contro un'azienda IT dell'Asia orientale, facendo luce sulle complesse tattiche impiegate dagli attori delle minacce. Questa operazione a lungo termine, durata oltre un anno, è stata orchestrata mediante l'implementazione di una sofisticata variante del malware, RDStealer, sviluppata utilizzando il linguaggio di programmazione Golang. I risultati dettagliati presentati in un rapporto tecnico dal ricercatore di Bitdefender Victor Vrabie rivelano che l'obiettivo principale dell'attacco era compromettere preziose credenziali ed eseguire l'esfiltrazione di dati.

Numerose prove raccolte dalla società di sicurezza informatica rumena indicano l'inizio della campagna all'inizio del 2022, con l'obiettivo specifico di essere un'azienda IT sconosciuta nell'Asia orientale. Questa rivelazione è un duro promemoria dell'evoluzione sofisticata e della persistenza delle minacce informatiche nel mondo interconnesso di oggi.

Sommario

Svelare la progressione

Durante le fasi iniziali dell'operazione, i comuni trojan di accesso remoto come AsyncRAT e Cobalt Strike hanno svolto un ruolo attivo. Tuttavia, il malware progettato su misura è intervenuto per eludere il rilevamento man mano che l'attacco progrediva alla fine del 2021 o all'inizio del 2022. Una strategia degna di nota prevedeva l'utilizzo di cartelle di Microsoft Windows esentate dalle scansioni di sicurezza, come System32 e Program Files, per archiviare i payload backdoor. Questo approccio mirava a sfruttare i limiti del software di sicurezza e migliorare l'efficacia dell'attacco.

Una sottocartella specifica che ha svolto un ruolo significativo nell'attacco è "C:\Program Files\Dell\CommandUpdate", che funge da posizione per Dell Command | Update, un'applicazione Dell legittima. È interessante notare che tutte le macchine compromesse durante l'incidente sono state prodotte da Dell, indicando una scelta deliberata da parte degli autori delle minacce di utilizzare questa cartella come copertura per le loro attività dannose. Questa osservazione è rafforzata dal fatto che gli aggressori hanno registrato domini di comando e controllo (C2) come "dell-a[.]ntp-update[.]com", progettati strategicamente per integrarsi perfettamente nell'ambiente di destinazione.

La campagna di intrusione utilizza una backdoor lato server nota come RDStealer, specializzata nella raccolta continua di dati dagli appunti e sequenze di tasti sull'host infetto. Questo comportamento consente agli autori delle minacce di raccogliere informazioni riservate di nascosto.

La caratteristica distintiva

Ciò che distingue questo attacco è la sua capacità di monitorare le connessioni RDP (Remote Desktop Protocol) in entrata e sfruttare una macchina remota se è abilitata la mappatura dell'unità client. Una volta rilevata una nuova connessione client RDP, RDStealer emette un comando per estrarre informazioni sensibili, tra cui cronologia di navigazione, credenziali e chiavi private, da applicazioni come mRemoteNG, KeePass e Google Chrome. Ciò sottolinea che gli attori delle minacce prendono di mira attivamente le credenziali e salvano le connessioni ad altri sistemi, come ha evidenziato Marin Zugec, ricercatore di Bitdefender, in un'analisi separata. Inoltre, i client RDP che si connettono alle macchine compromesse rilevano Logutil, un altro malware personalizzato basato su Golang.

Logutil utilizza tecniche di caricamento laterale DLL per stabilire la persistenza all'interno della rete della vittima e facilitare l'esecuzione dei comandi. Sono disponibili informazioni limitate sull'autore della minaccia, ad eccezione della loro attività risalente al 2020. Zugec sottolinea la continua innovazione e la sofisticazione in evoluzione dei criminali informatici, che sfruttano tecnologie nuove e consolidate per svolgere le loro attività dannose. Questo attacco testimonia la crescente complessità delle moderne minacce informatiche e la capacità degli attori delle minacce di sfruttare tecnologie ampiamente adottate.