Ujawnianie całorocznego cyberszpiegostwa: intrygujące odkrycie niestandardowego złośliwego oprogramowania RDStealer w docelowej firmie IT

Do Chance w Computer Security

Przetłumacz na:

Wykryto zakrojony na szeroką skalę i skrupulatnie zaplanowany atak cybernetyczny wymierzony w firmę informatyczną z Azji Wschodniej, rzucający światło na złożoną taktykę stosowaną przez cyberprzestępców. Ta długotrwała operacja, trwająca ponad rok, została zorganizowana poprzez wdrożenie wyrafinowanego wariantu złośliwego oprogramowania, RDStealer, opracowanego przy użyciu języka programowania Golang. Szczegółowe ustalenia przedstawione w raporcie technicznym przez badacza Bitdefender, Victora Vrabiego, ujawniają, że głównym celem ataku było naruszenie cennych danych uwierzytelniających i przeprowadzenie eksfiltracji danych.

Obszerne dowody zebrane przez rumuńską firmę zajmującą się cyberbezpieczeństwem wskazują na rozpoczęcie kampanii na początku 2022 r., a konkretnym celem była nieujawniona firma informatyczna z Azji Wschodniej. To odkrycie jest wyraźnym przypomnieniem ewoluującego wyrafinowania i uporczywości zagrożeń cybernetycznych w dzisiejszym połączonym świecie.

Spis treści

Odsłonięcie postępu

Podczas początkowych etapów operacji aktywną rolę odgrywały popularne trojany zdalnego dostępu, takie jak AsyncRAT i Cobalt Strike . Jednak specjalnie zaprojektowane złośliwe oprogramowanie wkroczyło, aby uniknąć wykrycia, gdy atak postępował pod koniec 2021 lub na początku 2022 roku. Godna uwagi strategia polegała na wykorzystaniu folderów Microsoft Windows wyłączonych ze skanowania bezpieczeństwa, takich jak System32 i Program Files, do przechowywania ładunków backdoora. Podejście to miało na celu wykorzystanie ograniczeń oprogramowania zabezpieczającego i zwiększenie skuteczności ataku.

Konkretnym podfolderem, który odegrał znaczącą rolę w ataku, jest „C:\Program Files\Dell\CommandUpdate”, który służy jako lokalizacja Dell Command | Update, legalna aplikacja firmy Dell. Co ciekawe, wszystkie zainfekowane maszyny w całym incydencie zostały wyprodukowane przez firmę Dell, co wskazuje na świadomy wybór przez cyberprzestępców wykorzystania tego folderu jako kamuflażu dla ich złośliwych działań. Obserwację tę potwierdza fakt, że osoby atakujące zarejestrowały domeny dowodzenia i kontroli (C2), takie jak „dell-a[.]ntp-update[.]com”, zaprojektowane strategicznie w celu bezproblemowego wtapiania się w środowisko docelowe.

Kampania włamań wykorzystuje backdoora po stronie serwera, znanego jako RDStealer, który specjalizuje się w ciągłym gromadzeniu danych ze schowka i naciśnięć klawiszy na zainfekowanym hoście. Takie zachowanie umożliwia cyberprzestępcom potajemne zbieranie poufnych informacji.

Cecha charakterystyczna

Tym, co wyróżnia ten atak, jest możliwość monitorowania przychodzących połączeń protokołu RDP (Remote Desktop Protocol) i wykorzystywania zdalnej maszyny, jeśli włączone jest mapowanie dysków klienta. Po wykryciu nowego połączenia klienta RDP, RDStealer wydaje polecenie wyodrębnienia poufnych informacji, w tym historii przeglądania, poświadczeń i kluczy prywatnych, z aplikacji takich jak mRemoteNG, KeePass i Google Chrome. Podkreśla to, że cyberprzestępcy aktywnie atakują dane uwierzytelniające i zapisują połączenia z innymi systemami, jak podkreślił Marin Zugec, badacz z Bitdefender w osobnej analizie. Ponadto klienci RDP łączący się z zaatakowanymi maszynami przechwytują Logutil, inne niestandardowe złośliwe oprogramowanie oparte na Golang.

Logutil wykorzystuje techniki ładowania bocznego bibliotek DLL w celu ustanowienia trwałości w sieci ofiary i ułatwienia wykonywania poleceń. Dostępne są ograniczone informacje na temat cyberprzestępców, z wyjątkiem ich działalności sięgającej 2020 r. Zugec zwraca uwagę na ciągłe innowacje i ewoluujące wyrafinowanie cyberprzestępców, którzy wykorzystują nowe i znane technologie do wykonywania szkodliwych działań. Atak ten jest świadectwem rosnącej złożoności współczesnych cyberzagrożeń oraz zdolności cyberprzestępców do wykorzystywania szeroko stosowanych technologii.