Презентация кибершпионажа длиной в год: интригующее раскрытие пользовательского вредоносного ПО RDStealer в целевой ИТ-фирме

К Chance году в Computer Security году

Перевести на:

Произошла обширная и тщательно спланированная кибератака, нацеленная на восточноазиатскую ИТ-фирму, которая проливает свет на сложную тактику, используемую злоумышленниками. Эта долгосрочная операция, длившаяся более года, была организована путем развертывания сложного варианта вредоносного ПО, RDStealer, разработанного с использованием языка программирования Golang. Подробные выводы, представленные в техническом отчете исследователя Bitdefender Виктора Враби, показывают, что основной целью атаки было компрометация ценных учетных данных и эксфильтрация данных.

Обширные доказательства, собранные румынской фирмой по кибербезопасности, указывают на то, что кампания была инициирована в начале 2022 года, а ее конкретной целью была неназванная ИТ-компания в Восточной Азии. Это откровение является суровым напоминанием об усложняющихся и устойчивых киберугрозах в современном взаимосвязанном мире.

Оглавление

Открытие прогресса

На начальных этапах операции активную роль играли распространенные трояны удаленного доступа, такие как AsyncRAT и Cobalt Strike . Однако специально разработанное вредоносное ПО вмешалось, чтобы избежать обнаружения, когда атака продолжалась в конце 2021 или начале 2022 года. Примечательная стратегия заключалась в использовании папок Microsoft Windows, исключенных из сканирования безопасности, таких как System32 и Program Files, для хранения полезной нагрузки бэкдора. Этот подход был направлен на использование ограничений программного обеспечения безопасности и повышение эффективности атаки.

Конкретная подпапка, сыгравшая значительную роль в атаке, — это «C:\Program Files\Dell\CommandUpdate», которая служит местом для Dell Command | Обновление, законное приложение Dell. Интересно, что все скомпрометированные компьютеры во время инцидента были произведены Dell, что указывает на преднамеренный выбор злоумышленниками использовать эту папку в качестве маскировки для своих вредоносных действий. Это наблюдение подкрепляется тем фактом, что злоумышленники зарегистрировали домены управления и контроля (C2), такие как «dell-a[.]ntp-update[.]com», стратегически спроектированные так, чтобы органично вписаться в целевую среду.

Кампания по вторжению использует бэкдор на стороне сервера, известный как RDStealer, который специализируется на постоянном сборе данных из буфера обмена и нажатий клавиш на зараженном хосте. Такое поведение позволяет злоумышленникам тайно собирать конфиденциальную информацию.

Отличительная черта

Что отличает эту атаку, так это ее способность отслеживать входящие подключения по протоколу удаленного рабочего стола (RDP) и использовать удаленный компьютер, если включено сопоставление клиентских дисков. Как только обнаружено новое клиентское соединение RDP, RDStealer выдает команду для извлечения конфиденциальной информации, включая историю посещенных страниц, учетные данные и закрытые ключи, из таких приложений, как mRemoteNG, KeePass и Google Chrome. Это подчеркивает, что злоумышленники активно нацеливаются на учетные данные и сохраняют подключения к другим системам, как подчеркнул Марин Зугек, исследователь Bitdefender в отдельном анализе. Кроме того, RDP-клиенты, подключающиеся к скомпрометированным машинам, перехватывают Logutil, еще одну пользовательскую вредоносную программу на основе Golang.

Logutil использует методы боковой загрузки DLL, чтобы установить постоянство в сети жертвы и облегчить выполнение команд. Доступна ограниченная информация об исполнителе угроз, за исключением информации об их деятельности, начиная с 2020 года. Цугек отмечает непрерывные инновации и развивающуюся изощренность киберпреступников, которые используют новые и устоявшиеся технологии для осуществления своих злонамеренных действий. Эта атака служит свидетельством растущей сложности современных киберугроз и способности злоумышленников использовать широко распространенные технологии.