Zbulimi i një spiunazhi kibernetik njëvjeçar: Zbulimi intrigues i RDSstealer-it të personalizuar të malware në firmën e synuar të IT

Nga Chance në Computer Security

Përkthe në:

Një sulm kibernetik i gjerë dhe i planifikuar me përpikëri që synon një firmë IT të Azisë Lindore është shfaqur, duke hedhur dritë mbi taktikat komplekse të përdorura nga aktorët e kërcënimit. Ky operacion afatgjatë, që zgjati mbi një vit, u orkestrua duke vendosur një variant të sofistikuar malware, RDStealer, i zhvilluar duke përdorur gjuhën e programimit Golang. Gjetjet e hollësishme të paraqitura në një raport teknik nga studiuesi i Bitdefender, Victor Vrabie zbulojnë se objektivi kryesor i sulmit ishte komprometimi i kredencialeve të vlefshme dhe ekzekutimi i ekfiltrimit të të dhënave.

Dëshmitë e gjera të mbledhura nga firma rumune e sigurisë kibernetike tregojnë për fillimin e fushatës në fillim të vitit 2022, me objektiv specifik një kompani IT të pazbuluar në Azinë Lindore. Ky zbulim është një kujtesë e ashpër e sofistikimit në zhvillim dhe këmbënguljes së kërcënimeve kibernetike në botën e sotme të ndërlidhur.

Tabela e Përmbajtjes

Zbulimi i Progresionit

Gjatë fazave fillestare të operacionit, trojanët e zakonshëm të aksesit në distancë si AsyncRAT dhe Cobalt Strike luajtën një rol aktiv. Megjithatë, malware i dizajnuar me porosi ndërhyri për të shmangur zbulimin ndërsa sulmi përparoi në fund të vitit 2021 ose në fillim të 2022. Një strategji e dukshme përfshinte përdorimin e dosjeve të Microsoft Windows të përjashtuar nga skanimet e sigurisë, si System32 dhe Program Files, për të ruajtur ngarkesat e pasme. Kjo qasje synonte të shfrytëzonte kufizimet e softuerit të sigurisë dhe të rriste efektivitetin e sulmit.

Një nën-dosje specifike që luajti një rol të rëndësishëm në sulm është "C:\Program Files\Dell\CommandUpdate", i cili shërben si vendndodhja për Dell Command | Përditësimi, një aplikacion legjitim i Dell. Është interesante se të gjitha makinat e komprometuara gjatë gjithë incidentit ishin të prodhuara nga Dell, duke treguar një zgjedhje të qëllimshme nga aktorët e kërcënimit për të përdorur këtë dosje si një kamuflazh për aktivitetet e tyre keqdashëse. Ky vëzhgim përforcohet nga fakti se sulmuesit regjistruan domene komandimi dhe kontrolli (C2) si "dell-a[.]ntp-update[.]com", të dizajnuara në mënyrë strategjike për t'u përzier pa probleme në mjedisin e synuar.

Fushata e ndërhyrjes përdor një derë të pasme nga ana e serverit të njohur si RDStealer, e cila është e specializuar në mbledhjen e vazhdueshme të të dhënave nga clipboard dhe goditjet e tasteve në hostin e infektuar. Kjo sjellje i lejon aktorët e kërcënimit të mbledhin informacione të ndjeshme në mënyrë të fshehtë.

Tipari dallues

Ajo që e veçon këtë sulm është aftësia e tij për të monitoruar lidhjet hyrëse të Protokollit të Desktopit të Largët (RDP) dhe për të shfrytëzuar një makinë në distancë nëse është aktivizuar harta e disqeve të klientit. Pasi të zbulohet një lidhje e re klienti RDP, RDStealer lëshon një komandë për të nxjerrë informacione të ndjeshme, duke përfshirë historikun e shfletimit, kredencialet dhe çelësat privatë, nga aplikacione si mRemoteNG, KeePass dhe Google Chrome. Kjo thekson se aktorët e kërcënimit synojnë në mënyrë aktive kredencialet dhe ruajnë lidhjet me sisteme të tjera, siç theksoi Marin Zugec, një studiues në Bitdefender, në një analizë të veçantë. Për më tepër, klientët RDP që lidhen me makinat e komprometuara kapin Logutil, një tjetër malware i personalizuar i bazuar në Golang.

Logutil përdor teknika të ngarkimit anësor DLL për të vendosur qëndrueshmërinë brenda rrjetit të viktimës dhe për të lehtësuar ekzekutimin e komandës. Informacioni i kufizuar në lidhje me aktorin e kërcënimit është i disponueshëm, përveç aktivitetit të tyre që daton në vitin 2020. Zugec vëren për inovacionin e vazhdueshëm dhe sofistikimin në zhvillim të kriminelëve kibernetikë, të cilët shfrytëzojnë teknologjitë e reja dhe të vendosura për të kryer aktivitetet e tyre keqdashëse. Ky sulm shërben si një testament për kompleksitetin në rritje të kërcënimeve moderne kibernetike dhe aftësinë e aktorëve të kërcënimit për të shfrytëzuar teknologjitë e miratuara gjerësisht.