Odhalenie celoročnej kybernetickej špionáže: Zaujímavé odhalenie vlastného malvéru RDStealer v cielenej IT firme
Prišiel rozsiahly a precízne naplánovaný kybernetický útok zameraný na východoázijskú IT firmu, ktorý objasnil komplexnú taktiku, ktorú používajú aktéri hrozieb. Táto dlhodobá operácia, trvajúca viac ako rok, bola organizovaná nasadením sofistikovaného variantu malvéru, RDStealer, vyvinutého pomocou programovacieho jazyka Golang. Podrobné zistenia prezentované v technickej správe od výskumníka Bitdefender Victora Vrabieho odhaľujú, že primárnym cieľom útoku bolo kompromitovať cenné poverenia a vykonať exfiltráciu údajov.
Rozsiahle dôkazy, ktoré zhromaždila rumunská firma zaoberajúca sa kybernetickou bezpečnosťou, poukazujú na spustenie kampane začiatkom roku 2022, pričom konkrétnym cieľom je nezverejnená IT spoločnosť vo východnej Ázii. Toto odhalenie je ostrou pripomienkou rozvíjajúcej sa sofistikovanosti a pretrvávania kybernetických hrozieb v dnešnom prepojenom svete.
Obsah
Odhalenie Progresie
Počas počiatočných fáz operácie zohrali aktívnu úlohu bežné trójske kone so vzdialeným prístupom ako AsyncRAT a Cobalt Strike . Avšak na mieru navrhnutý malvér zasiahol, aby sa vyhol detekcii, keď útok postupoval koncom roka 2021 alebo začiatkom roku 2022. Pozoruhodnou stratégiou bolo využitie priečinkov Microsoft Windows vyňatých z bezpečnostných skenov, ako sú System32 a Program Files, na ukladanie dát v zadných vrátkach. Cieľom tohto prístupu bolo využiť obmedzenia bezpečnostného softvéru a zvýšiť efektivitu útoku.
Špecifický podpriečinok, ktorý zohral významnú úlohu pri útoku, je „C:\Program Files\Dell\CommandUpdate“, ktorý slúži ako umiestnenie Dell Command | Aktualizácia, legitímna aplikácia Dell. Je zaujímavé, že všetky napadnuté počítače počas incidentu boli vyrobené spoločnosťou Dell, čo naznačuje zámernú voľbu aktérov hrozby využiť tento priečinok ako kamufláž pre svoje škodlivé aktivity. Toto pozorovanie je posilnené skutočnosťou, že útočníci zaregistrovali domény príkazov a ovládania (C2) ako „dell-a[.]ntp-update[.]com,“ strategicky navrhnuté tak, aby hladko zapadli do cieľového prostredia.
Kampaň proti prieniku využíva zadné vrátka na strane servera známe ako RDStealer, ktoré sa špecializujú na nepretržité zhromažďovanie údajov zo schránky a stlačenia klávesov na infikovanom hostiteľovi. Toto správanie umožňuje aktérom hrozby tajne zhromažďovať citlivé informácie.
Charakteristická vlastnosť
To, čo odlišuje tento útok, je jeho schopnosť monitorovať prichádzajúce pripojenia protokolu RDP (Remote Desktop Protocol) a využívať vzdialený počítač, ak je povolené mapovanie klientskej jednotky. Po zistení nového pripojenia klienta RDP vydá RDStealer príkaz na extrahovanie citlivých informácií vrátane histórie prehliadania, poverení a súkromných kľúčov z aplikácií ako mRemoteNG, KeePass a Google Chrome. To zdôrazňuje, že aktéri hrozieb aktívne zameriavajú poverenia a ukladajú pripojenia k iným systémom, ako zdôraznil Marin Zugec, výskumník v Bitdefender, v samostatnej analýze. Klienti RDP, ktorí sa pripájajú k napadnutým počítačom, navyše zachytia Logutil, ďalší vlastný malvér založený na Golang.
Logutil využíva techniky bočného načítania DLL na zabezpečenie pretrvávania v sieti obete a uľahčenie vykonávania príkazov. K dispozícii sú obmedzené informácie o aktérovi hrozby, s výnimkou ich aktivity z roku 2020. Zugec poznamenáva o neustálej inovácii a rozvíjajúcej sa sofistikovanosti kyberzločincov, ktorí využívajú nové a zavedené technológie na vykonávanie svojich škodlivých aktivít. Tento útok slúži ako dôkaz zvyšujúcej sa komplexnosti moderných kybernetických hrozieb a schopnosti aktérov hrozieb využívať široko používané technológie.
Odhalenie celoročnej kybernetickej špionáže: Zaujímavé odhalenie vlastného malvéru RDStealer v cielenej IT firme snímok obrazovky
