Dezvăluirea unui spionaj cibernetic de-a lungul unui an: Dezvăluirea intrigantă a RDStealer personalizat de malware într-o firmă IT vizată

Până în Chance în Computer Security

Tradu in:

A apărut un atac cibernetic extins și meticulos planificat, care vizează o firmă de IT din Asia de Est, aruncând lumină asupra tacticilor complexe folosite de actorii amenințărilor. Această operațiune pe termen lung, care a durat peste un an, a fost orchestrată prin implementarea unei variante sofisticate de malware, RDStealer, dezvoltată folosind limbajul de programare Golang. Descoperirile detaliate prezentate într-un raport tehnic de către cercetătorul Bitdefender Victor Vrabie dezvăluie că obiectivul principal al atacului a fost să compromită acreditările valoroase și să execute exfiltrarea datelor.

Dovezile ample strânse de firma română de securitate cibernetică indică inițierea campaniei la începutul anului 2022, ținta specifică fiind o companie IT nedezvăluită din Asia de Est. Această revelație este o reamintire clară a evoluției sofisticate și a persistenței amenințărilor cibernetice în lumea interconectată de astăzi.

Cuprins

Dezvăluirea Progresiei

În fazele inițiale ale operațiunii, troienii obișnuiți de acces la distanță, cum ar fi AsyncRAT și Cobalt Strike , au jucat un rol activ. Cu toate acestea, programele malware personalizate au intervenit pentru a evita detectarea, pe măsură ce atacul a progresat la sfârșitul anului 2021 sau începutul anului 2022. O strategie notabilă a implicat utilizarea folderelor Microsoft Windows scutite de scanările de securitate, cum ar fi System32 și Program Files, pentru a stoca încărcăturile utile din backdoor. Această abordare a urmărit să exploateze limitările software-ului de securitate și să sporească eficacitatea atacului.

Un subdosar specific care a jucat un rol semnificativ în atac este „C:\Program Files\Dell\CommandUpdate”, care servește drept locație pentru Dell Command | Update, o aplicație Dell legitimă. În mod interesant, toate mașinile compromise de-a lungul incidentului au fost fabricate de Dell, ceea ce indică o alegere deliberată a actorilor amenințărilor de a utiliza acest folder ca o camuflare pentru activitățile lor rău intenționate. Această observație este întărită de faptul că atacatorii au înregistrat domenii de comandă și control (C2) precum „dell-a[.]ntp-update[.]com”, concepute strategic pentru a se integra perfect în mediul țintă.

Campania de intruziune utilizează o ușă din spate pe server cunoscută sub numele de RDStealer, care este specializată în colectarea continuă de date din clipboard și apăsările de taste de pe gazda infectată. Acest comportament permite actorilor amenințărilor să colecteze informații sensibile în mod secret.

Caracteristica distinctivă

Ceea ce diferențiază acest atac este capacitatea sa de a monitoriza conexiunile RDP (Remote Desktop Protocol) primite și de a exploata o mașină la distanță dacă maparea unității client este activată. Odată ce este detectată o nouă conexiune client RDP, RDStealer lansează o comandă pentru a extrage informații sensibile, inclusiv istoricul de navigare, acreditările și cheile private, din aplicații precum mRemoteNG, KeePass și Google Chrome. Acest lucru subliniază faptul că actorii amenințărilor vizează în mod activ acreditările și salvează conexiunile la alte sisteme, așa cum a subliniat Marin Zugec, cercetător la Bitdefender, într-o analiză separată. În plus, clienții RDP care se conectează la mașinile compromise prind Logutil, un alt malware personalizat bazat pe Golang.

Logutil folosește tehnici de încărcare laterală a DLL pentru a stabili persistența în rețeaua victimei și pentru a facilita execuția comenzii. Sunt disponibile informații limitate despre actorul amenințării, cu excepția activității acestora care datează din 2020. Zugec remarcă asupra inovației continue și a sofisticarii în continuă evoluție a infractorilor cibernetici, care exploatează tehnologii noi și consacrate pentru a-și desfășura activitățile rău intenționate. Acest atac servește ca o dovadă a complexității tot mai mari a amenințărilor cibernetice moderne și a capacității actorilor amenințărilor de a exploata tehnologiile adoptate pe scară largă.