Gadu ilgas kiberspiegošanas atklāšana: intriģējoša pielāgotas ļaunprātīgas programmatūras RDStealer atklāšana mērķtiecīgā IT uzņēmumā
Ir atklāts plašs un rūpīgi plānots kiberuzbrukums Austrumāzijas IT uzņēmumam, atklājot sarežģīto taktiku, ko izmanto apdraudējuma dalībnieki. Šī ilgstošā darbība, kas ilga vairāk nekā gadu, tika organizēta, izvietojot sarežģītu ļaunprātīgas programmatūras variantu RDStealer, kas izstrādāts, izmantojot Golang programmēšanas valodu. Detalizēti atklājumi, kas sniegti Bitdefender pētnieka Viktora Vrabie tehniskajā ziņojumā, atklāj, ka uzbrukuma galvenais mērķis bija apdraudēt vērtīgus akreditācijas datus un veikt datu izfiltrēšanu.
Rumānijas kiberdrošības firmas savāktie plašie pierādījumi liecina, ka kampaņa tika uzsākta 2022. gada sākumā, un konkrēts mērķis ir neatklāts IT uzņēmums Austrumāzijā. Šī atklāsme ir spilgts atgādinājums par kiberdraudu sarežģītību un noturību mūsdienu savstarpēji saistītajā pasaulē.
Satura rādītājs
Atklājot progresu
Operācijas sākumposmā aktīvi piedalījās plaši izplatīti attālās piekļuves Trojas zirgi, piemēram, AsyncRAT un Cobalt Strike . Tomēr, uzbrukumam attīstoties 2021. gada beigās vai 2022. gada sākumā, tika ieviesta īpaši izstrādāta ļaunprātīga programmatūra, lai izvairītos no atklāšanas. Ievērojama stratēģija bija Microsoft Windows mapju, kas atbrīvotas no drošības skenēšanas, piemēram, System32 un Program Files, izmantošana, lai saglabātu aizmugures durvju slodzes. Šīs pieejas mērķis bija izmantot drošības programmatūras ierobežojumus un uzlabot uzbrukuma efektivitāti.
Īpaša apakšmape, kurai bija nozīmīga loma uzbrukumā, ir "C:\Program Files\Dell\CommandUpdate", kas kalpo kā Dell Command | Update, likumīga Dell lietojumprogramma. Interesanti, ka visas incidenta laikā apdraudētās iekārtas bija Dell ražotas, kas liecina par draudu dalībnieku apzinātu izvēli izmantot šo mapi kā maskēties savām ļaunprātīgajām darbībām. Šo novērojumu pastiprina fakts, ka uzbrucēji reģistrēja komandu un kontroles (C2) domēnus, piemēram, "dell-a[.]ntp-update[.]com", kas ir stratēģiski izstrādāti, lai nevainojami iekļautos mērķa vidē.
Ielaušanās kampaņā tiek izmantotas servera puses aizmugures durvis, kas pazīstamas kā RDStealer, kas specializējas nepārtrauktā datu apkopošanā no starpliktuves un taustiņsitieniem inficētajā resursdatorā. Šāda rīcība ļauj apdraudējuma dalībniekiem slepeni vākt sensitīvu informāciju.
Atšķirīgā iezīme
Šo uzbrukumu atšķir tā spēja pārraudzīt ienākošos attālās darbvirsmas protokola (RDP) savienojumus un izmantot attālo iekārtu, ja ir iespējota klienta diska kartēšana. Kad tiek atklāts jauns RDP klienta savienojums, RDStealer izdod komandu, lai no tādām lietojumprogrammām kā mRemoteNG, KeePass un Google Chrome izvilktu sensitīvu informāciju, tostarp pārlūkošanas vēsturi, akreditācijas datus un privātās atslēgas. Tas uzsver, ka apdraudējuma dalībnieki aktīvi izmanto akreditācijas datus un saglabā savienojumus ar citām sistēmām, kā atsevišķā analīzē uzsvēra Bitdefender pētnieks Marins Zugecs. Turklāt RDP klienti, kas savienojas ar apdraudētajām iekārtām, uztver Logutil, citu pielāgotu Golang balstītu ļaunprogrammatūru.
Logutil izmanto DLL sānu ielādes metodes, lai nodrošinātu noturību upura tīklā un atvieglotu komandu izpildi. Ir pieejama ierobežota informācija par apdraudējuma dalībnieku, izņemot to darbību, kas datēta ar 2020. gadu. Zugecs atzīmē kibernoziedznieku nepārtrauktās inovācijas un mainīgo sarežģītību, kuri izmanto jaunas un iedibinātas tehnoloģijas, lai veiktu savas ļaunprātīgās darbības. Šis uzbrukums kalpo kā apliecinājums mūsdienu kiberdraudu pieaugošajai sarežģītībai un apdraudējuma dalībnieku spējai izmantot plaši pieņemtās tehnoloģijas.
Gadu ilgas kiberspiegošanas atklāšana: intriģējoša pielāgotas ļaunprātīgas programmatūras RDStealer atklāšana mērķtiecīgā IT uzņēmumā ekrānuzņēmumi
