Metų trukmės kibernetinio šnipinėjimo atskleidimas: intriguojantis tinkintos kenkėjiškos programos RDStealer atskleidimas tikslinėje IT įmonėje

Autorius Chance, Computer Security

Versti į:

Prasidėjo plati ir kruopščiai suplanuota kibernetinė ataka, nukreipta prieš Rytų Azijos IT įmonę, atskleidžianti sudėtingą grėsmės veikėjų taktiką. Ši ilgalaikė operacija, trukusi daugiau nei metus, buvo surengta įdiegus sudėtingą kenkėjiškos programos variantą RDStealer, sukurtą naudojant Golang programavimo kalbą. Išsamios išvados, pateiktos Bitdefender tyrėjo Viktoro Vrabie techninėje ataskaitoje, atskleidžia, kad pagrindinis atakos tikslas buvo pažeisti vertingus kredencialus ir vykdyti duomenų išfiltravimą.

Rumunijos kibernetinio saugumo įmonės surinkti gausūs įrodymai rodo, kad kampanija buvo pradėta 2022 m. pradžioje, o konkretus tikslas – neskelbiama IT įmonė Rytų Azijoje. Šis apreiškimas yra ryškus priminimas apie besikeičiantį rafinuotumą ir kibernetinių grėsmių išlikimą šiandieniniame tarpusavyje susijusiame pasaulyje.

Turinys

Progreso atidengimas

Pradiniuose operacijos etapuose aktyvų vaidmenį atliko įprasti nuotolinės prieigos trojos arklys, tokie kaip AsyncRAT ir Cobalt Strike . Tačiau 2021 m. pabaigoje arba 2022 m. pradžioje ataka įsibėgėjo, kad išvengtų aptikimo pagal užsakymą sukurtos kenkėjiškos programos. Svarbi strategija buvo naudoti „Microsoft Windows“ aplankus, kuriems netaikomas saugos nuskaitymas, pvz., „System32“ ir „Programų failai“, kad būtų galima saugoti užpakalinių durų naudingąsias apkrovas. Šiuo metodu buvo siekiama išnaudoti saugos programinės įrangos apribojimus ir padidinti atakos efektyvumą.

Konkretus poaplankis, suvaidinęs reikšmingą vaidmenį atakoje, yra "C:\Program Files\Dell\CommandUpdate", kuris naudojamas kaip Dell Command | Atnaujinimas, teisėta „Dell“ programa. Įdomu tai, kad visas per incidentą pažeistas mašinas gamino „Dell“, o tai rodo, kad grėsmės veikėjai sąmoningai nusprendė panaudoti šį aplanką kaip savo kenkėjiškos veiklos kamufliažas. Šį pastebėjimą sustiprina faktas, kad užpuolikai užregistravo komandų ir valdymo (C2) domenus, tokius kaip „dell-a[.]ntp-update[.]com“, strategiškai sukurtus taip, kad sklandžiai įsilietų į tikslinę aplinką.

Įsibrovimo kampanijoje naudojamos serverio pusės užpakalinės durys, žinomos kaip RDStealer, kuri specializuojasi nuolat renkant duomenis iš iškarpinės ir užkrėsto pagrindinio kompiuterio klavišų paspaudimais. Toks elgesys leidžia grėsmės subjektams slapta rinkti neskelbtiną informaciją.

Išskirtinis bruožas

Ši ataka išsiskiria tuo, kad ji gali stebėti gaunamus nuotolinio darbalaukio protokolo (RDP) ryšius ir išnaudoti nuotolinį įrenginį, jei įjungtas kliento disko susiejimas. Kai aptinkamas naujas KPP kliento ryšys, „RDStealer“ išduoda komandą, kad iš tokių programų kaip „mRemoteNG“, „KeePass“ ir „Google Chrome“ gautų neskelbtiną informaciją, įskaitant naršymo istoriją, kredencialus ir privačius raktus. Tai pabrėžia, kad grėsmės veikėjai aktyviai taikosi į kredencialus ir išsaugo ryšius su kitomis sistemomis, kaip atskiroje analizėje pabrėžė „Bitdefender“ tyrėjas Marin Zugec. Be to, KPP klientai, prisijungiantys prie pažeistų mašinų, užfiksuoja „Logutil“ – kitą tinkintą „Golang“ pagrindu sukurtą kenkėjišką programą.

Logutil naudoja DLL šoninio įkėlimo metodus, kad užtikrintų išlikimą nukentėjusiųjų tinkle ir palengvintų komandų vykdymą. Yra ribota informacija apie grėsmės veikėją, išskyrus jų veiklą, kuri pradėta 2020 m. Zugec pažymi, kad kibernetiniai nusikaltėliai, kurie naudojasi naujomis ir nusistovėjusiomis technologijomis, nuolat diegiasi naujovėmis ir tobulina savo kenkėjišką veiklą. Ši ataka liudija apie didėjantį šiuolaikinių kibernetinių grėsmių sudėtingumą ir grėsmių subjektų gebėjimą išnaudoti plačiai priimtas technologijas.