Razkritje celoletnega kibernetskega vohunjenja: zanimivo razkritje zlonamerne programske opreme po meri RDStealer v ciljnem IT podjetju
Pojavil se je obsežen in natančno načrtovan kibernetski napad, usmerjen na vzhodnoazijsko IT podjetje, ki osvetljuje kompleksne taktike, ki jih uporabljajo akterji groženj. Ta dolgoročna operacija, ki je trajala več kot eno leto, je bila organizirana z uvedbo sofisticirane različice zlonamerne programske opreme, RDStealer, razvite z uporabo programskega jezika Golang. Podrobne ugotovitve, predstavljene v tehničnem poročilu Bitdefenderjevega raziskovalca Victorja Vrabieja, razkrivajo, da je bil glavni cilj napada ogrožanje dragocenih poverilnic in izvrševanje izločanja podatkov.
Obsežni dokazi, ki jih je zbralo romunsko podjetje za kibernetsko varnost, kažejo na začetek kampanje v začetku leta 2022, pri čemer je bila posebna tarča nerazkrito IT podjetje v vzhodni Aziji. To razkritje je oster opomin na razvijajočo se sofisticiranost in vztrajnost kibernetskih groženj v današnjem medsebojno povezanem svetu.
Kazalo
Razkritje napredovanja
V začetnih fazah operacije so imeli aktivno vlogo običajni trojanci z oddaljenim dostopom, kot sta AsyncRAT in Cobalt Strike . Vendar pa je po meri zasnovana zlonamerna programska oprema vskočila, da bi se izognila odkritju, ko je napad napredoval konec leta 2021 ali v začetku leta 2022. Pomembna strategija je vključevala uporabo map Microsoft Windows, izvzetih iz varnostnih pregledov, kot so System32 in programske datoteke, za shranjevanje uporabnih podatkov za zakulisna vrata. Ta pristop je bil namenjen izkoriščanju omejitev varnostne programske opreme in povečanju učinkovitosti napada.
Posebna podmapa, ki je imela pomembno vlogo pri napadu, je »C:\Program Files\Dell\CommandUpdate«, ki služi kot lokacija za Dell Command | Posodobitev, zakonita aplikacija Dell. Zanimivo je, da so bili vsi ogroženi stroji v celotnem incidentu izdelani pri Dell-u, kar kaže na namerno izbiro akterjev grožnje, da to mapo uporabijo kot kamuflažo za svoje zlonamerne dejavnosti. To opažanje je podkrepljeno z dejstvom, da so napadalci registrirali domene ukazov in nadzora (C2), kot je "dell-a[.]ntp-update[.]com," strateško zasnovane za brezhibno zlivanje s ciljnim okoljem.
Kampanja vdorov uporablja stranska vrata na strani strežnika, znana kot RDStealer, ki je specializirana za nenehno zbiranje podatkov iz odložišča in pritiskov tipk na okuženem gostitelju. To vedenje omogoča akterjem groženj, da prikrito zbirajo občutljive podatke.
Posebnost
Kar ločuje ta napad, je njegova zmožnost spremljanja dohodnih povezav protokola oddaljenega namizja (RDP) in izkoriščanja oddaljenega računalnika, če je omogočeno preslikavo pogona odjemalca. Ko je zaznana nova povezava odjemalca RDP, RDStealer izda ukaz za ekstrahiranje občutljivih informacij, vključno z zgodovino brskanja, poverilnicami in zasebnimi ključi, iz aplikacij, kot so mRemoteNG, KeePass in Google Chrome. To poudarja, da akterji groženj aktivno ciljajo na poverilnice in shranjujejo povezave z drugimi sistemi, kot je v ločeni analizi poudaril Marin Zugec, raziskovalec pri Bitdefenderju. Poleg tega odjemalci RDP, ki se povezujejo z ogroženimi napravami, ujamejo Logutil, drugo zlonamerno programsko opremo, ki temelji na Golangu.
Logutil uporablja tehnike stranskega nalaganja DLL, da vzpostavi obstojnost znotraj omrežja žrtve in olajša izvajanje ukazov. Na voljo so omejeni podatki o akterju grožnje, razen o njihovi dejavnosti, ki sega v leto 2020. Zugec opozarja na nenehne inovacije in razvijajočo se sofisticiranost kiberkriminalcev, ki izkoriščajo nove in uveljavljene tehnologije za izvajanje svojih zlonamernih dejavnosti. Ta napad služi kot dokaz vse večje kompleksnosti sodobnih kibernetskih groženj in zmožnosti akterjev groženj, da izkoristijo široko razširjene tehnologije.
Razkritje celoletnega kibernetskega vohunjenja: zanimivo razkritje zlonamerne programske opreme po meri RDStealer v ciljnem IT podjetju posnetkov zaslona
