Avduking av en årelang cyberspionasje: Spennende avsløring av Custom Malware RDStealer i målrettet IT-firma

Med Chance i Computer Security

Oversett til:

Et omfattende og omhyggelig planlagt cyberangrep rettet mot et østasiatisk IT-firma har kommet opp, og kaster lys over den komplekse taktikken som brukes av trusselaktørene. Denne langsiktige operasjonen, som varte i over ett år, ble orkestrert ved å distribuere en sofistikert malware-variant, RDStealer, utviklet med Golang-programmeringsspråket. Detaljerte funn presentert i en teknisk rapport av Bitdefender-forsker Victor Vrabie avslører at hovedmålet med angrepet var å kompromittere verdifull legitimasjon og utføre dataeksfiltrering.

Omfattende bevis samlet inn av det rumenske cybersikkerhetsfirmaet peker mot kampanjens igangsetting tidlig i 2022, med det spesifikke målet som et ikke avslørt IT-selskap i Øst-Asia. Denne avsløringen er en sterk påminnelse om den utviklende sofistikeringen og utholdenheten til cybertrusler i dagens sammenkoblede verden.

Innholdsfortegnelse

Avduking av progresjonen

Under de innledende stadiene av operasjonen spilte vanlige fjerntilgangstrojanere som AsyncRAT og Cobalt Strike en aktiv rolle. Imidlertid gikk spesialdesignet skadelig programvare inn for å unngå oppdagelse etter hvert som angrepet skred frem i slutten av 2021 eller tidlig i 2022. En bemerkelsesverdig strategi involverte å bruke Microsoft Windows-mapper unntatt fra sikkerhetsskanninger, for eksempel System32 og Program Files, for å lagre bakdørens nyttelast. Denne tilnærmingen hadde som mål å utnytte sikkerhetsprogramvarens begrensninger og forbedre angrepets effektivitet.

En spesifikk undermappe som spilte en betydelig rolle i angrepet er "C:\Program Files\Dell\CommandUpdate," som fungerer som plasseringen for Dell Command | Update, en legitim Dell-applikasjon. Interessant nok var alle de kompromitterte maskinene gjennom hendelsen Dell-produsert, noe som indikerer et bevisst valg fra trusselaktørene om å bruke denne mappen som en kamuflasje for deres ondsinnede aktiviteter. Denne observasjonen forsterkes av det faktum at angriperne registrerte kommando-og-kontroll (C2) domener som "dell-a[.]ntp-update[.]com," strategisk utformet for å gli sømløst inn i målmiljøet.

Inntrengningskampanjen bruker en bakdør på serversiden kjent som RDStealer, som spesialiserer seg på kontinuerlig å samle data fra utklippstavlen og tastetrykk på den infiserte verten. Denne oppførselen lar trusselaktørene samle inn sensitiv informasjon i det skjulte.

Det særegne

Det som skiller dette angrepet er dets evne til å overvåke innkommende Remote Desktop Protocol (RDP)-tilkoblinger og utnytte en ekstern maskin hvis klientstasjonstilordning er aktivert. Når en ny RDP-klientforbindelse er oppdaget, utsteder RDStealer en kommando for å trekke ut sensitiv informasjon, inkludert nettleserhistorikk, legitimasjon og private nøkler, fra programmer som mRemoteNG, KeePass og Google Chrome. Det understreker at trusselaktører aktivt retter seg mot legitimasjon og lagrer forbindelser til andre systemer, slik Marin Zugec, en forsker ved Bitdefender, fremhevet i en egen analyse. I tillegg fanger RDP-klientene som kobler til de kompromitterte maskinene Logutil, en annen tilpasset Golang-basert skadelig programvare.

Logutil bruker DLL-sidelastingsteknikker for å etablere utholdenhet innenfor offernettverket og lette kommandoutførelse. Begrenset informasjon om trusselaktøren er tilgjengelig, bortsett fra deres aktivitet som dateres tilbake til 2020. Zugec bemerker den kontinuerlige innovasjonen og utviklende sofistikeringen til nettkriminelle, som utnytter nye og etablerte teknologier for å utføre sine ondsinnede aktiviteter. Dette angrepet tjener som et vitnesbyrd om den økende kompleksiteten til moderne cybertrusler og trusselaktørenes evne til å utnytte bredt vedtatte teknologier.