Revelando uma Espionagem Cibernética de Um Ano: A Revelação Intrigante do Malware Personalizado RDStealer com uma Empresa de TI Visada

Por Chance em Computer Security

Traduzir Para:

Um ataque cibernético extenso e meticulosamente planejado visando uma empresa de TI do Leste Asiático foi relevado, lançando luz sobre as táticas complexas empregadas pelos agentes da ameaça. Essa operação de longo prazo, que durou mais de um ano, foi orquestrada pela implantação de uma variante sofisticada de malware, o RDStealer, desenvolvido usando a linguagem de programação Golang. Descobertas detalhadas apresentadas em um relatório técnico do pesquisador da Bitdefender, Victor Vrabie, revelam que o objetivo principal do ataque era comprometer credenciais valiosas e executar a exfiltração de dados. Extensas evidências coletadas pela empresa romena de segurança cibernética apontam para o início da campanha no início de 2022, com o alvo específico sendo uma empresa de TI não revelada no leste da Ásia. Esta revelação é um lembrete da evolução da sofisticação e persistência das ameaças cibernéticas no mundo interconectado de hoje.

Índice

Revelando a Progressão

Durante os estágios iniciais da operação, trojans comuns de acesso remoto, como AsyncRAT e Cobalt Strike, desempenharam um papel ativo. No entanto, o malware personalizado entrou em cena para evitar a detecção à medida que o ataque avançava no final de 2021 ou início de 2022. Uma estratégia notável envolveu a utilização de pastas do Microsoft Windows isentas de verificações de segurança, como System32 e Arquivos de Programas, para armazenar as cargas úteis de backdoor. Essa abordagem visava explorar as limitações do software de segurança e aumentar a eficácia do ataque.

Uma subpasta específica que desempenhou um papel significativo no ataque é "C:\Arquivos de programas\Dell\CommandUpdate", que serve como local para o Dell Command | Update, um aplicativo legítimo da Dell. Curiosamente, todas as máquinas comprometidas durante o incidente foram fabricadas pela Dell, indicando uma escolha deliberada dos invasores de utilizar esta pasta como uma camuflagem para suas atividades maliciosas. Essa observação é reforçada pelo fato de que os invasores registraram domínios de comando e controle (C2) como "dell-a[.]ntp-update[.]com", estrategicamente projetados para combinar perfeitamente com o ambiente de destino. A campanha de intrusão utiliza um backdoor do lado do servidor conhecido como RDStealer, especializado em coletar dados continuamente da área de transferência e pressionamentos de tecla no host infectado. Esse comportamento permite que os agentes de ameaças coletem informações confidenciais sub-repticiamente.

A Característica Distintiva

O que diferencia esse ataque é sua capacidade de monitorar as conexões RDP (Remote Desktop Protocol) recebidas e explorar uma máquina remota se o mapeamento da unidade do cliente estiver ativado. Assim que uma nova conexão de cliente RDP é detectada, o RDStealer emite um comando para extrair informações confidenciais, incluindo histórico de navegação, credenciais e chaves privadas, de aplicativos como mRemoteNG, KeePass e Google Chrome. Isso enfatiza que os agentes de ameaças visam ativamente credenciais e salvam conexões com outros sistemas, como Marin Zugec, pesquisador da Bitdefender, destacou em uma análise separada. Além disso, os clientes RDP que se conectam às máquinas comprometidas capturam o Logutil, outro malware personalizado baseado em Golang. A Logutil emprega técnicas de carregamento lateral de DLL para estabelecer persistência na rede da vítima e facilitar a execução de comandos. Informações limitadas sobre o agente da ameaça estão disponíveis, exceto por suas atividades desde 2020. Zugec comenta sobre a inovação contínua e a sofisticação crescente dos cibercriminosos, que exploram tecnologias novas e estabelecidas para realizar suas atividades maliciosas. Esse ataque serve como prova da crescente complexidade das ameaças cibernéticas modernas e da capacidade dos agentes de ameaças de explorar tecnologias amplamente adotadas.