एक वर्ष लामो साइबर जासूसीको अनावरण: लक्षित आईटी फर्ममा कस्टम मालवेयर RDStealer को चाखलाग्दो खुलासा

Computer Security मा Chance सम्म

यसमा अनुवाद गर्नुहोस्:

पूर्व एसियाली आईटी फर्मलाई लक्षित गर्दै एउटा व्यापक र सावधानीपूर्वक योजनाबद्ध साइबर आक्रमण भएको छ, जसले धम्की दिने व्यक्तिहरूले प्रयोग गर्ने जटिल रणनीतिहरूमा प्रकाश पारेको छ। यो दीर्घकालीन अपरेशन, एक वर्ष भन्दा बढी चलिरहेको, एक परिष्कृत मालवेयर भेरियन्ट, RDStealer, Golang प्रोग्रामिङ भाषा प्रयोग गरेर विकसित गरी व्यवस्थित गरिएको थियो। Bitdefender अनुसन्धानकर्ता भिक्टर Vrabie द्वारा एक प्राविधिक प्रतिवेदन मा प्रस्तुत विस्तृत निष्कर्षहरूले आक्रमणको प्राथमिक उद्देश्य बहुमूल्य प्रमाणहरू सम्झौता गर्न र डाटा exfiltration कार्यान्वयन गर्न थियो प्रकट गर्दछ।

रोमानियाली साइबरसेक्युरिटी फर्मद्वारा सङ्कलन गरिएका विस्तृत प्रमाणहरूले २०२२ को प्रारम्भमा अभियानको शुरुवातलाई औंल्याउँछ, विशेष लक्ष्य पूर्वी एसियामा एक अज्ञात IT कम्पनी हो। यो खुलासा आजको अन्तरसम्बन्धित संसारमा साइबर खतराहरूको विकासशील परिष्कार र दृढताको एक कडा अनुस्मारक हो।

सामग्रीको तालिका

प्रगतिको अनावरण गर्दै

सञ्चालनको प्रारम्भिक चरणहरूमा, AsyncRAT र Cobalt Strike जस्ता साधारण रिमोट एक्सेस ट्रोजनहरूले सक्रिय भूमिका खेलेका थिए। यद्यपि, अनुकूलन डिजाइन गरिएको मालवेयरले 2021 को अन्तमा वा 2022 को प्रारम्भमा आक्रमण बढ्दै गएपछि पत्ता लगाउनबाट बच्न कदम चाल्यो। ब्याकडोर पेलोडहरू भण्डारण गर्न प्रणाली32 र प्रोग्राम फाइलहरू जस्ता सुरक्षा स्क्यानहरूबाट छुट दिइएको Microsoft Windows फोल्डरहरू प्रयोग गर्ने एउटा उल्लेखनीय रणनीति समावेश छ। यस दृष्टिकोणको उद्देश्य सुरक्षा सफ्टवेयरको सीमितताहरूको शोषण गर्न र आक्रमणको प्रभावकारिता बढाउने थियो।

एक विशिष्ट उप-फोल्डर जसले आक्रमणमा महत्त्वपूर्ण भूमिका खेलेको छ "C:\Program Files\Dell\CommandUpdate," जसले डेल कमाण्डको लागि स्थानको रूपमा कार्य गर्दछ। अपडेट, एक वैध डेल आवेदन। चाखलाग्दो कुरा के छ भने, घटनामा सबै सम्झौता गरिएका मेसिनहरू डेल-निर्मित थिए, जसले धम्की दिने व्यक्तिहरूले यो फोल्डरलाई तिनीहरूको दुर्भावनापूर्ण गतिविधिहरूको लागि क्यामफ्लाजको रूपमा प्रयोग गर्न जानाजानी छनोटलाई संकेत गर्दछ। यस अवलोकनलाई यस तथ्यबाट बलियो बनाइएको छ कि आक्रमणकारीहरूले "dell-a[.]ntp-update[.]com" जस्ता कमाण्ड-एण्ड-कन्ट्रोल (C2) डोमेनहरू दर्ता गरे, रणनीतिक रूपमा लक्षित वातावरणमा निर्बाध मिश्रण गर्न डिजाइन गरिएको।

घुसपैठ अभियानले RDStealer भनेर चिनिने सर्भर-साइड ब्याकडोर प्रयोग गर्दछ, जसले क्लिपबोर्ड र संक्रमित होस्टमा कीस्ट्रोकहरूबाट लगातार डाटा सङ्कलन गर्नमा विशेषज्ञता दिन्छ। यो व्यवहारले खतरा कर्ताहरूलाई संवेदनशील जानकारी गोप्य रूपमा सङ्कलन गर्न अनुमति दिन्छ।

विशिष्ट विशेषता

यस आक्रमणलाई अलग गर्ने कुरा भनेको आगमन रिमोट डेस्कटप प्रोटोकल (RDP) जडानहरू निगरानी गर्ने र क्लाइन्ट ड्राइभ म्यापिङ सक्षम भएमा रिमोट मेसिनको शोषण गर्ने क्षमता हो। एक पटक नयाँ RDP क्लाइन्ट जडान पत्ता लागेपछि, RDStealer ले mRemoteNG, KeePass, र Google Chrome जस्ता अनुप्रयोगहरूबाट ब्राउजिङ इतिहास, प्रमाणहरू, र निजी कुञ्जीहरू सहित संवेदनशील जानकारी निकाल्न आदेश जारी गर्दछ। यसले जोड दिन्छ कि खतरा अभिनेताहरूले सक्रिय रूपमा प्रमाणहरू लक्षित गर्छन् र अन्य प्रणालीहरूमा जडानहरू बचत गर्छन्, बिटडेफेन्डरका अनुसन्धानकर्ता मारिन जुगेकले छुट्टै विश्लेषणमा हाइलाइट गरे। थप रूपमा, सम्झौता गरिएका मेसिनहरूमा जडान गर्ने RDP क्लाइन्टहरूले Logutil समात्छन्, अर्को कस्टम Golang-आधारित मालवेयर।

Logutil ले पीडित नेटवर्क भित्र दृढता स्थापित गर्न र आदेश कार्यान्वयनलाई सहज बनाउन DLL साइड-लोडिङ प्रविधिहरू प्रयोग गर्दछ। 2020 मा फर्किएको तिनीहरूको गतिविधि बाहेक खतरा अभिनेताको बारेमा सीमित जानकारी उपलब्ध छ। Zugec साइबर अपराधीहरूको निरन्तर आविष्कार र विकासशील परिष्कारमा टिप्पणी गर्दछ, जसले तिनीहरूको खराब गतिविधिहरू सञ्चालन गर्न नयाँ र स्थापित प्रविधिहरूको शोषण गर्दछ। यस आक्रमणले आधुनिक साइबर खतराहरूको बढ्दो जटिलता र व्यापक रूपमा अपनाइएका प्रविधिहरूको शोषण गर्ने खतरा अभिनेताहरूको क्षमताको प्रमाणको रूपमा कार्य गर्दछ।