Avslöjar ett år långt cyberspionage: spännande avslöjande av Custom Malware RDStealer i riktat IT-företag
En omfattande och noggrant planerad cyberattack riktad mot ett östasiatiskt IT-företag har kommit upp och belyser den komplexa taktik som används av hotaktörerna. Denna långsiktiga operation, som varade i över ett år, orkestrerades genom att distribuera en sofistikerad malware-variant, RDStealer, utvecklad med hjälp av Golang-programmeringsspråket. Detaljerade resultat som presenteras i en teknisk rapport av Bitdefender-forskaren Victor Vrabie avslöjar att det primära syftet med attacken var att kompromissa med värdefulla referenser och utföra dataexfiltrering.
Omfattande bevis som samlats in av det rumänska cybersäkerhetsföretaget pekar på att kampanjen inleddes i början av 2022, med det specifika målet att vara ett hemligt IT-företag i Östasien. Denna avslöjande är en stark påminnelse om den utvecklande sofistikeringen och ihållande cyberhoten i dagens sammanlänkade värld.
Innehållsförteckning
Avtäckning av progressionen
Under de inledande stadierna av operationen spelade vanliga fjärråtkomsttrojaner som AsyncRAT och Cobalt Strike en aktiv roll. Skräddarsydd skadlig programvara trädde dock in för att undvika upptäckt när attacken fortskred i slutet av 2021 eller början av 2022. En anmärkningsvärd strategi involverade att använda Microsoft Windows-mappar undantagna från säkerhetsgenomsökningar, såsom System32 och Program Files, för att lagra bakdörrens nyttolaster. Detta tillvägagångssätt syftade till att utnyttja säkerhetsprogramvarans begränsningar och förbättra attackens effektivitet.
En specifik undermapp som spelade en betydande roll i attacken är "C:\Program Files\Dell\CommandUpdate", som fungerar som platsen för Dell Command | Update, en legitim Dell-applikation. Intressant nog var alla de komprometterade maskinerna under incidenten tillverkade av Dell, vilket tyder på ett avsiktligt val av hotaktörerna att använda den här mappen som ett kamouflage för sina skadliga aktiviteter. Denna observation förstärks av det faktum att angriparna registrerade kommando-och-kontroll (C2) domäner som "dell-a[.]ntp-update[.]com," strategiskt utformade för att smälta in sömlöst i målmiljön.
Intrångskampanjen använder en bakdörr på serversidan känd som RDStealer, som är specialiserad på att kontinuerligt samla in data från urklipp och tangenttryckningar på den infekterade värden. Detta beteende gör att hotaktörerna kan samla in känslig information i smyg.
Den särskiljande egenskapen
Det som skiljer denna attack åt är dess förmåga att övervaka inkommande Remote Desktop Protocol (RDP)-anslutningar och utnyttja en fjärrdator om klientdiskmappning är aktiverad. När en ny RDP-klientanslutning upptäcks, utfärdar RDStealer ett kommando för att extrahera känslig information, inklusive webbhistorik, autentiseringsuppgifter och privata nycklar, från applikationer som mRemoteNG, KeePass och Google Chrome. Det understryker att hotaktörer aktivt riktar in sina referenser och sparar anslutningar till andra system, som Marin Zugec, en forskare på Bitdefender, betonade i en separat analys. Dessutom fångar RDP-klienterna som ansluter till de komprometterade maskinerna Logutil, en annan anpassad Golang-baserad skadlig programvara.
Logutil använder DLL-sidoladdningstekniker för att etablera uthållighet inom offrets nätverk och underlätta kommandoexekveringen. Begränsad information om hotaktören är tillgänglig, förutom deras verksamhet som går tillbaka till 2020. Zugec kommenterar den kontinuerliga innovationen och utvecklande sofistikeringen av cyberkriminella, som utnyttjar ny och etablerad teknik för att utföra sina skadliga aktiviteter. Denna attack tjänar som ett bevis på den ökande komplexiteten hos moderna cyberhot och möjligheten hos hotaktörer att utnyttja allmänt antagen teknik.
Avslöjar ett år långt cyberspionage: spännande avslöjande av Custom Malware RDStealer i riktat IT-företag skärmdumpar
