Откривање једногодишње сајбер шпијунаже: Интригантно откриће прилагођеног РДСтеалер-а малвера у циљаној ИТ фирми
Појавио се опсежан и помно планиран сајбер напад усмерен на ИТ фирму из источне Азије, бацајући светло на сложену тактику коју користе актери претњи. Ова дугорочна операција, која је трајала више од годину дана, била је оркестрирана применом софистициране варијанте малвера, РДСтеалер-а, развијене коришћењем програмског језика Голанг. Детаљни налази представљени у техничком извештају Битдефендер истраживача Виктора Врабија откривају да је примарни циљ напада био да се компромитују вредни акредитиви и изврши ексфилтрација података.
Опсежни докази које је прикупила румунска фирма за сајбер безбедност указују на то да је кампања започела почетком 2022. године, а конкретна мета била је неоткривена ИТ компанија у источној Азији. Ово откриће је оштар подсетник на растућу софистицираност и постојаност сајбер претњи у данашњем међусобно повезаном свету.
Преглед садржаја
Откривање Прогресије
Током почетних фаза операције, уобичајени тројанци за даљински приступ као што су АсинцРАТ и Цобалт Стрике су играли активну улогу. Међутим, посебно дизајнирани злонамерни софтвер ускочио је да избегне откривање како је напад напредовао крајем 2021. или почетком 2022. Значајна стратегија је укључивала коришћење Мицрософт Виндовс фасцикли изузетих од безбедносних скенирања, као што су Систем32 и Програм Филес, за складиштење бекдоор корисних података. Овај приступ је имао за циљ да искористи ограничења безбедносног софтвера и побољша ефикасност напада.
Конкретна поддиректорија која је одиграла значајну улогу у нападу је „Ц:\Програм Филес\Делл\ЦоммандУпдате“, која служи као локација за Делл Цомманд | Упдате, легитимна Делл апликација. Занимљиво је да су све компромитоване машине током инцидента произведене од стране компаније Делл, што указује на намеран избор актера претњи да користе ову фасциклу као камуфлажу за своје злонамерне активности. Ово запажање је појачано чињеницом да су нападачи регистровали командно-контролне (Ц2) домене попут „делл-а[.]нтп-упдате[.]цом“, стратешки дизајниране да се неприметно уклопе у циљно окружење.
Кампања против упада користи бацкдоор на страни сервера познат као РДСтеалер, који је специјализован за континуирано прикупљање података из међуспремника и притиска на тастере на зараженом хосту. Ово понашање омогућава актерима претњи да кришом прикупљају осетљиве информације.
Тхе Дистинцтиве Феатуре
Оно што овај напад издваја је његова способност да надгледа долазне везе протокола за удаљену радну површину (РДП) и искоришћава удаљену машину ако је омогућено мапирање клијентског диска. Када се открије нова РДП клијентска веза, РДСтеалер издаје команду за издвајање осетљивих информација, укључујући историју прегледања, акредитиве и приватне кључеве, из апликација као што су мРемотеНГ, КееПасс и Гоогле Цхроме. То наглашава да актери претњи активно циљају на акредитиве и чувају везе са другим системима, као што је Марин Зугец, истраживач у Битдефендер-у, истакао у засебној анализи. Поред тога, РДП клијенти који се повезују са компромитованим машинама хватају Логутил, још један прилагођени малвер заснован на Голангу.
Логутил користи технике бочног учитавања ДЛЛ-а како би успоставио постојаност унутар мреже жртве и олакшао извршење команде. Доступне су ограничене информације о актеру претње, осим о њиховој активности која датира од 2020. Зугец напомиње сталне иновације и софистицираност сајбер криминалаца, који користе нове и успостављене технологије за обављање својих злонамерних активности. Овај напад служи као сведочанство све веће сложености савремених сајбер претњи и способности актера претњи да искористе широко прихваћене технологије.
Откривање једногодишње сајбер шпијунаже: Интригантно откриће прилагођеног РДСтеалер-а малвера у циљаној ИТ фирми снимака екрана
