Mendedahkan Pengintipan Siber Sepanjang Tahun: Pendedahan Menarik tentang Pencuri RDS Perisian Hasad Tersuai dalam Firma IT Sasaran

Menjelang Chance pada Computer Security

Terjemahkan ke

Serangan siber yang meluas dan dirancang dengan teliti menyasarkan firma IT Asia Timur telah muncul, menjelaskan taktik kompleks yang digunakan oleh pelaku ancaman. Operasi jangka panjang ini, yang berlangsung lebih setahun, telah diatur dengan menggunakan varian perisian hasad yang canggih, RDStealer, yang dibangunkan menggunakan bahasa pengaturcaraan Golang. Penemuan terperinci yang dibentangkan dalam laporan teknikal oleh penyelidik Bitdefender Victor Vrabie mendedahkan objektif utama serangan itu adalah untuk menjejaskan kelayakan berharga dan melaksanakan penyingkiran data.

Bukti meluas yang dikumpul oleh firma keselamatan siber Romania menunjukkan permulaan kempen pada awal 2022, dengan sasaran khusus ialah syarikat IT yang tidak didedahkan di Asia Timur. Pendedahan ini adalah peringatan yang nyata tentang kecanggihan yang berkembang dan kegigihan ancaman siber dalam dunia yang saling berkaitan hari ini.

Isi kandungan

Menyingkap Kemajuan

Semasa peringkat awal operasi, trojan capaian jauh biasa seperti AsyncRAT dan Cobalt Strike memainkan peranan aktif. Walau bagaimanapun, perisian hasad reka bentuk tersuai melangkah masuk untuk mengelak pengesanan apabila serangan itu berlaku pada akhir 2021 atau awal 2022. Strategi ketara melibatkan penggunaan folder Microsoft Windows yang dikecualikan daripada imbasan keselamatan, seperti System32 dan Program Files, untuk menyimpan muatan pintu belakang. Pendekatan ini bertujuan untuk mengeksploitasi had perisian keselamatan dan meningkatkan keberkesanan serangan.

Sub-folder khusus yang memainkan peranan penting dalam serangan itu ialah "C:\Program Files\Dell\CommandUpdate," yang berfungsi sebagai lokasi untuk Dell Command | Kemas kini, aplikasi Dell yang sah. Menariknya, semua mesin yang terjejas sepanjang kejadian adalah buatan Dell, menunjukkan pilihan yang disengajakan oleh pelaku ancaman untuk menggunakan folder ini sebagai penyamaran untuk aktiviti jahat mereka. Pemerhatian ini diperkukuh oleh fakta bahawa penyerang mendaftarkan domain arahan dan kawalan (C2) seperti "dell-a[.]ntp-update[.]com," direka secara strategik untuk menggabungkan dengan lancar ke dalam persekitaran sasaran.

Kempen pencerobohan menggunakan pintu belakang sebelah pelayan yang dikenali sebagai RDStealer, yang pakar dalam mengumpul data secara berterusan daripada papan keratan dan ketukan kekunci pada hos yang dijangkiti. Tingkah laku ini membolehkan pelaku ancaman mengumpul maklumat sensitif secara rahsia.

Ciri yang tersendiri

Apa yang membezakan serangan ini ialah keupayaannya untuk memantau sambungan Protokol Desktop Jauh (RDP) masuk dan mengeksploitasi mesin jauh jika pemetaan pemacu klien didayakan. Setelah sambungan klien RDP baharu dikesan, RDStealer mengeluarkan arahan untuk mengekstrak maklumat sensitif, termasuk sejarah penyemakan imbas, bukti kelayakan dan kunci peribadi, daripada aplikasi seperti mRemoteNG, KeePass dan Google Chrome. Itu menekankan bahawa pelaku ancaman secara aktif menyasarkan kelayakan dan menyimpan sambungan ke sistem lain, seperti yang ditonjolkan oleh Marin Zugec, seorang penyelidik di Bitdefender dalam analisis berasingan. Selain itu, pelanggan RDP yang menyambung ke mesin yang terjejas menangkap Logutil, satu lagi perisian hasad berasaskan Golang tersuai.

Logutil menggunakan teknik pemuatan sisi DLL untuk mewujudkan kegigihan dalam rangkaian mangsa dan memudahkan pelaksanaan perintah. Maklumat terhad tentang pelaku ancaman tersedia, kecuali untuk aktiviti mereka sejak 2020. Zugec mengulas tentang inovasi berterusan dan kecanggihan penjenayah siber yang berkembang, yang mengeksploitasi teknologi baharu dan mantap untuk menjalankan aktiviti jahat mereka. Serangan ini berfungsi sebagai bukti kepada peningkatan kerumitan ancaman siber moden dan keupayaan pelaku ancaman untuk mengeksploitasi teknologi yang diterima pakai secara meluas.