ఏడాది పొడవునా సైబర్ గూఢచర్యాన్ని ఆవిష్కరించడం: టార్గెటెడ్ IT సంస్థలో కస్టమ్ మాల్వేర్ RDStealer యొక్క చమత్కారమైన వెల్లడి

తూర్పు ఆసియా IT సంస్థను లక్ష్యంగా చేసుకుని విస్తృతమైన మరియు ఖచ్చితమైన ప్రణాళికతో సైబర్ దాడి జరిగింది, ఇది ముప్పు నటులు ఉపయోగించిన సంక్లిష్ట వ్యూహాలపై వెలుగునిస్తుంది. ఈ దీర్ఘకాలిక ఆపరేషన్, ఒక సంవత్సరం పాటు కొనసాగుతుంది, గోలాంగ్ ప్రోగ్రామింగ్ లాంగ్వేజ్‌ని ఉపయోగించి అభివృద్ధి చేయబడిన RDStealer అనే అధునాతన మాల్వేర్ వేరియంట్‌ని అమలు చేయడం ద్వారా ఆర్కెస్ట్రేట్ చేయబడింది. బిట్‌డెఫెండర్ పరిశోధకుడు విక్టర్ వ్రాబీ సాంకేతిక నివేదికలో సమర్పించిన వివరణాత్మక ఫలితాలు దాడి యొక్క ప్రాథమిక లక్ష్యం విలువైన ఆధారాలను రాజీ చేయడం మరియు డేటా ఎక్స్‌ఫిల్ట్రేషన్‌ను అమలు చేయడం.

రొమేనియన్ సైబర్ సెక్యూరిటీ సంస్థ సేకరించిన విస్తృతమైన సాక్ష్యాలు 2022 ప్రారంభంలో ప్రచారాన్ని ప్రారంభించడాన్ని సూచిస్తున్నాయి, నిర్దిష్ట లక్ష్యం తూర్పు ఆసియాలో బహిర్గతం కాని IT కంపెనీ. ఈ ద్యోతకం నేటి పరస్పరం అనుసంధానించబడిన ప్రపంచంలో సైబర్ బెదిరింపుల యొక్క అభివృద్ధి చెందుతున్న అధునాతనతను మరియు నిలకడను పూర్తిగా గుర్తు చేస్తుంది.

ప్రగతిని ఆవిష్కరించడం

ఆపరేషన్ యొక్క ప్రారంభ దశలలో, AsyncRAT మరియు కోబాల్ట్ స్ట్రైక్ వంటి సాధారణ రిమోట్ యాక్సెస్ ట్రోజన్‌లు క్రియాశీల పాత్రను పోషించాయి. అయితే, 2021 చివరిలో లేదా 2022 ప్రారంభంలో దాడి పురోగమిస్తున్నందున కస్టమ్-డిజైన్ చేయబడిన మాల్వేర్ గుర్తింపును తప్పించుకోవడానికి అడుగుపెట్టింది. బ్యాక్‌డోర్ పేలోడ్‌లను నిల్వ చేయడానికి System32 మరియు ప్రోగ్రామ్ ఫైల్‌ల వంటి భద్రతా స్కాన్‌ల నుండి మినహాయించబడిన Microsoft Windows ఫోల్డర్‌లను ఉపయోగించడం ఒక ముఖ్యమైన వ్యూహం. ఈ విధానం భద్రతా సాఫ్ట్‌వేర్ పరిమితులను ఉపయోగించుకోవడం మరియు దాడి ప్రభావాన్ని మెరుగుపరచడం లక్ష్యంగా పెట్టుకుంది.

దాడిలో ముఖ్యమైన పాత్ర పోషించిన నిర్దిష్ట ఉప-ఫోల్డర్ "C:\Program Files\Dell\CommandUpdate," ఇది Dell Command | అప్‌డేట్, చట్టబద్ధమైన డెల్ అప్లికేషన్. ఆసక్తికరంగా, సంఘటన అంతటా రాజీపడిన యంత్రాలన్నీ డెల్-తయారైనవి, ఈ ఫోల్డర్‌ను వారి హానికరమైన కార్యకలాపాలకు మభ్యపెట్టడానికి ముప్పు నటులు ఉద్దేశపూర్వకంగా ఎంచుకున్నారని సూచిస్తుంది. దాడి చేసేవారు "dell-a[.]ntp-update[.]com" వంటి కమాండ్-అండ్-కంట్రోల్ (C2) డొమైన్‌లను నమోదు చేసుకున్నారనే వాస్తవం ద్వారా ఈ పరిశీలన బలపడుతుంది, ఇది లక్ష్య వాతావరణంలో సజావుగా కలపడానికి వ్యూహాత్మకంగా రూపొందించబడింది.

చొరబాటు ప్రచారం RDStealer అని పిలువబడే సర్వర్ వైపు బ్యాక్‌డోర్‌ను ఉపయోగించుకుంటుంది, ఇది క్లిప్‌బోర్డ్ నుండి డేటాను నిరంతరం సేకరించడం మరియు సోకిన హోస్ట్‌లోని కీస్ట్రోక్‌ల ప్రత్యేకత. ఈ ప్రవర్తన బెదిరింపు నటులను రహస్యంగా సున్నితమైన సమాచారాన్ని సేకరించడానికి అనుమతిస్తుంది.

విలక్షణమైన లక్షణం

క్లయింట్ డ్రైవ్ మ్యాపింగ్ ప్రారంభించబడితే ఇన్‌కమింగ్ రిమోట్ డెస్క్‌టాప్ ప్రోటోకాల్ (RDP) కనెక్షన్‌లను పర్యవేక్షించడం మరియు రిమోట్ మెషీన్‌ను ఉపయోగించుకునే సామర్థ్యం ఈ దాడిని వేరు చేస్తుంది. కొత్త RDP క్లయింట్ కనెక్షన్ కనుగొనబడిన తర్వాత, mRemoteNG, KeePass మరియు Google Chrome వంటి అప్లికేషన్‌ల నుండి బ్రౌజింగ్ చరిత్ర, ఆధారాలు మరియు ప్రైవేట్ కీలతో సహా సున్నితమైన సమాచారాన్ని సేకరించేందుకు RDStealer ఆదేశాన్ని జారీ చేస్తుంది. బిట్‌డెఫెండర్‌లోని పరిశోధకురాలు మారిన్ జుగెక్ ప్రత్యేక విశ్లేషణలో హైలైట్ చేసినట్లుగా, ముప్పు నటులు ఆధారాలను చురుకుగా లక్ష్యంగా చేసుకుంటారని మరియు ఇతర సిస్టమ్‌లకు కనెక్షన్‌లను సేవ్ చేస్తారని ఇది నొక్కి చెబుతుంది. అదనంగా, రాజీపడిన మెషీన్‌లకు కనెక్ట్ చేసే RDP క్లయింట్‌లు మరొక కస్టమ్ గోలాంగ్ ఆధారిత మాల్వేర్‌లో లోగుటిల్‌ను పట్టుకుంటారు.

Logutil బాధిత నెట్‌వర్క్‌లో నిలకడను స్థాపించడానికి మరియు కమాండ్ అమలును సులభతరం చేయడానికి DLL సైడ్-లోడింగ్ పద్ధతులను ఉపయోగిస్తుంది. బెదిరింపు నటుడి గురించి పరిమిత సమాచారం అందుబాటులో ఉంది, 2020 నాటి వారి కార్యకలాపాలు మినహాయించి. వారి హానికరమైన కార్యకలాపాలను నిర్వహించడానికి కొత్త మరియు స్థిరపడిన సాంకేతికతలను ఉపయోగించుకునే సైబర్ నేరగాళ్ల నిరంతర ఆవిష్కరణ మరియు అభివృద్ధి చెందుతున్న అధునాతనతపై Zugec వ్యాఖ్యలు. ఈ దాడి ఆధునిక సైబర్ బెదిరింపుల యొక్క పెరుగుతున్న సంక్లిష్టతకు మరియు విస్తృతంగా స్వీకరించబడిన సాంకేతిక పరిజ్ఞానాన్ని ఉపయోగించుకునే ముప్పు నటుల సామర్థ్యానికి నిదర్శనంగా పనిచేస్తుంది.

ఏడాది పొడవునా సైబర్ గూఢచర్యాన్ని ఆవిష్కరించడం: టార్గెటెడ్ IT సంస్థలో కస్టమ్ మాల్వేర్ RDStealer యొక్క చమత్కారమైన వెల్లడి స్క్రీన్‌షాట్‌లు