Onthulling van een jaar lang cyberspionage: intrigerende onthulling van aangepaste malware RDStealer in gericht IT-bedrijf
Er is een uitgebreide en zorgvuldig geplande cyberaanval gericht op een Oost-Aziatisch IT-bedrijf, die licht werpt op de complexe tactieken die door de bedreigingsactoren worden gebruikt. Deze langdurige operatie, die meer dan een jaar duurde, werd georkestreerd door de inzet van een geavanceerde malwarevariant, RDStealer, ontwikkeld met behulp van de Golang-programmeertaal. Gedetailleerde bevindingen gepresenteerd in een technisch rapport van Bitdefender-onderzoeker Victor Vrabie onthullen dat het primaire doel van de aanval was om waardevolle inloggegevens in gevaar te brengen en data-exfiltratie uit te voeren.
Uitgebreid bewijs verzameld door het Roemeense cyberbeveiligingsbedrijf wijst erop dat de campagne begin 2022 van start ging, met als specifiek doelwit een niet nader genoemd IT-bedrijf in Oost-Azië. Deze onthulling is een sterke herinnering aan de evoluerende verfijning en persistentie van cyberdreigingen in de onderling verbonden wereld van vandaag.
Inhoudsopgave
Onthulling van de voortgang
Tijdens de beginfase van de operatie speelden veelgebruikte trojans voor externe toegang, zoals AsyncRAT en Cobalt Strike, een actieve rol. Naarmate de aanval eind 2021 of begin 2022 vorderde, kwam er echter op maat ontworpen malware tussenbeide om detectie te omzeilen. Een opmerkelijke strategie was het gebruik van Microsoft Windows-mappen die waren vrijgesteld van beveiligingsscans, zoals System32 en Program Files, om de backdoor-payloads op te slaan. Deze aanpak was bedoeld om de beperkingen van beveiligingssoftware uit te buiten en de effectiviteit van de aanval te vergroten.
Een specifieke submap die een belangrijke rol speelde bij de aanval is "C:\Program Files\Dell\CommandUpdate", die dient als locatie voor Dell Command | Update, een legitieme Dell-toepassing. Interessant genoeg waren alle gecompromitteerde machines tijdens het incident door Dell gefabriceerd, wat wijst op een bewuste keuze van de bedreigingsactoren om deze map te gebruiken als camouflage voor hun kwaadaardige activiteiten. Deze observatie wordt versterkt door het feit dat de aanvallers command-and-control (C2)-domeinen zoals "dell-a[.]ntp-update[.]com" registreerden, strategisch ontworpen om naadloos op te gaan in de doelomgeving.
De inbraakcampagne maakt gebruik van een achterdeur aan de serverzijde, bekend als RDStealer, die is gespecialiseerd in het continu verzamelen van gegevens van het klembord en toetsaanslagen op de geïnfecteerde host. Door dit gedrag kunnen de bedreigingsactoren heimelijk gevoelige informatie verzamelen.
Het onderscheidende kenmerk
Wat deze aanval onderscheidt, is de mogelijkheid om inkomende Remote Desktop Protocol (RDP)-verbindingen te monitoren en een externe machine te misbruiken als client-drive mapping is ingeschakeld. Zodra een nieuwe RDP-clientverbinding is gedetecteerd, geeft RDStealer een opdracht om gevoelige informatie, waaronder browsegeschiedenis, inloggegevens en privésleutels, te extraheren uit applicaties zoals mRemoteNG, KeePass en Google Chrome. Dat benadrukt dat bedreigingsactoren zich actief richten op inloggegevens en verbindingen met andere systemen opslaan, zoals Marin Zugec, een onderzoeker bij Bitdefender, benadrukte in een afzonderlijke analyse. Bovendien vangen de RDP-clients die verbinding maken met de gecompromitteerde machines Logutil op, een andere aangepaste op Golang gebaseerde malware.
Logutil maakt gebruik van DLL-side-loading-technieken om persistentie binnen het slachtoffernetwerk tot stand te brengen en de uitvoering van opdrachten te vergemakkelijken. Er is beperkte informatie over de dreigingsactor beschikbaar, met uitzondering van hun activiteit die teruggaat tot 2020. Zugec maakt opmerkingen over de voortdurende innovatie en evoluerende verfijning van cybercriminelen, die nieuwe en gevestigde technologieën gebruiken om hun kwaadaardige activiteiten uit te voeren. Deze aanval getuigt van de toenemende complexiteit van moderne cyberdreigingen en het vermogen van aanvallers om algemeen aanvaarde technologieën te exploiteren.
Onthulling van een jaar lang cyberspionage: intrigerende onthulling van aangepaste malware RDStealer in gericht IT-bedrijf schermafbeeldingen
