เปิดตัวหน่วยสืบราชการลับทางไซเบอร์ที่ยาวนานเป็นปี: การเปิดเผยที่น่าสนใจของ RDStealer มัลแวร์แบบกำหนดเองในบริษัทไอทีเป้าหมาย
การโจมตีทางไซเบอร์ที่ครอบคลุมและวางแผนอย่างพิถีพิถันโดยมุ่งเป้าไปที่บริษัทไอทีในเอเชียตะวันออกได้ปรากฏขึ้น ทำให้เห็นถึงกลยุทธ์ที่ซับซ้อนที่ผู้คุกคามใช้ การดำเนินการระยะยาวนี้ซึ่งกินเวลานานกว่าหนึ่งปี ได้รับการจัดการโดยการติดตั้งมัลแวร์ RDStealer สายพันธุ์ที่ซับซ้อน ซึ่งพัฒนาโดยใช้ภาษาโปรแกรม Golang การค้นพบโดยละเอียดที่นำเสนอในรายงานทางเทคนิคโดยนักวิจัยของ Bitdefender Victor Vrabie เปิดเผยว่าวัตถุประสงค์หลักของการโจมตีคือการประนีประนอมข้อมูลรับรองที่มีค่าและดำเนินการขโมยข้อมูล
หลักฐานจำนวนมากที่รวบรวมโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ของโรมาเนียชี้ไปที่การเริ่มต้นแคมเปญในช่วงต้นปี 2565 โดยมีเป้าหมายเฉพาะคือบริษัทไอทีที่ไม่เปิดเผยในเอเชียตะวันออก การเปิดเผยนี้เป็นเครื่องเตือนใจอย่างชัดเจนถึงการพัฒนาที่ซับซ้อนและการคงอยู่ของภัยคุกคามทางไซเบอร์ในโลกที่เชื่อมต่อถึงกันในปัจจุบัน
สารบัญ
เปิดเผยความคืบหน้า
ในช่วงเริ่มต้นของการดำเนินการ โทรจันเข้าถึงระยะไกลทั่วไปเช่น AsyncRAT และ Cobalt Strike มีบทบาทอย่างแข็งขัน อย่างไรก็ตาม มัลแวร์ที่ออกแบบเองเข้ามาเพื่อหลีกเลี่ยงการตรวจจับเมื่อการโจมตีดำเนินไปในช่วงปลายปี 2564 หรือต้นปี 2565 กลยุทธ์ที่โดดเด่นที่เกี่ยวข้องกับการใช้โฟลเดอร์ Microsoft Windows ที่ได้รับการยกเว้นจากการสแกนความปลอดภัย เช่น System32 และไฟล์โปรแกรม เพื่อจัดเก็บเพย์โหลดแบ็คดอร์ วิธีการนี้มีวัตถุประสงค์เพื่อใช้ประโยชน์จากข้อจำกัดของซอฟต์แวร์รักษาความปลอดภัยและเพิ่มประสิทธิภาพของการโจมตี
โฟลเดอร์ย่อยเฉพาะที่มีบทบาทสำคัญในการโจมตีคือ "C:\Program Files\Dell\CommandUpdate" ซึ่งทำหน้าที่เป็นตำแหน่งสำหรับ Dell Command | อัปเดต แอปพลิเคชัน Dell ที่ถูกต้องตามกฎหมาย ที่น่าสนใจคือเครื่องที่ถูกโจมตีทั้งหมดตลอดเหตุการณ์นั้นผลิตโดย Dell ซึ่งบ่งชี้ถึงการเลือกโดยเจตนาของผู้คุกคามที่จะใช้โฟลเดอร์นี้เป็นลายพรางสำหรับกิจกรรมที่เป็นอันตรายของพวกเขา ข้อสังเกตนี้ได้รับการสนับสนุนจากความจริงที่ว่าผู้โจมตีลงทะเบียนโดเมนคำสั่งและการควบคุม (C2) เช่น "dell-a[.]ntp-update[.]com" ซึ่งได้รับการออกแบบอย่างมีกลยุทธ์เพื่อผสมผสานเข้ากับสภาพแวดล้อมเป้าหมายได้อย่างลงตัว
แคมเปญการบุกรุกใช้แบ็คดอร์ฝั่งเซิร์ฟเวอร์ที่เรียกว่า RDStealer ซึ่งเชี่ยวชาญในการรวบรวมข้อมูลอย่างต่อเนื่องจากคลิปบอร์ดและการกดแป้นพิมพ์บนโฮสต์ที่ติดไวรัส พฤติกรรมนี้ทำให้ผู้คุกคามสามารถรวบรวมข้อมูลที่ละเอียดอ่อนได้อย่างลับๆล่อๆ
คุณลักษณะที่โดดเด่น
สิ่งที่ทำให้การโจมตีนี้แตกต่างคือความสามารถในการตรวจสอบการเชื่อมต่อ Remote Desktop Protocol (RDP) ที่เข้ามาและใช้ประโยชน์จากเครื่องระยะไกลหากเปิดใช้งานการแมปไดรฟ์ไคลเอนต์ เมื่อตรวจพบการเชื่อมต่อไคลเอนต์ RDP ใหม่ RDStealer จะออกคำสั่งเพื่อดึงข้อมูลที่ละเอียดอ่อน รวมถึงประวัติการท่องเว็บ ข้อมูลประจำตัว และคีย์ส่วนตัว จากแอปพลิเคชัน เช่น mRemoteNG, KeePass และ Google Chrome ซึ่งเน้นย้ำว่าผู้คุกคามกำหนดเป้าหมายข้อมูลรับรองและบันทึกการเชื่อมต่อกับระบบอื่น ๆ ดังที่ Marin Zugec นักวิจัยจาก Bitdefender ได้เน้นย้ำในการวิเคราะห์แยกต่างหาก นอกจากนี้ ไคลเอ็นต์ RDP ที่เชื่อมต่อกับเครื่องที่ถูกบุกรุกจะตรวจจับ Logutil ซึ่งเป็นมัลแวร์ที่ใช้ Golang แบบกำหนดเองอีกตัวหนึ่ง
Logutil ใช้เทคนิคการโหลดด้านข้าง DLL เพื่อสร้างการคงอยู่ภายในเครือข่ายของเหยื่อและอำนวยความสะดวกในการดำเนินการคำสั่ง มีข้อมูลจำกัดเกี่ยวกับผู้ก่อภัยคุกคาม ยกเว้นกิจกรรมของพวกเขาย้อนหลังไปถึงปี 2020 Zugec กล่าวถึงนวัตกรรมอย่างต่อเนื่องและการพัฒนาที่ซับซ้อนของอาชญากรไซเบอร์ ซึ่งใช้ประโยชน์จากเทคโนโลยีใหม่และเป็นที่ยอมรับเพื่อดำเนินกิจกรรมที่เป็นอันตราย การโจมตีนี้เป็นข้อพิสูจน์ถึงความซับซ้อนที่เพิ่มขึ้นของภัยคุกคามทางไซเบอร์สมัยใหม่และความสามารถของผู้คุกคามในการใช้ประโยชน์จากเทคโนโลยีที่นำมาใช้กันอย่างแพร่หลาย
เปิดตัวหน่วยสืบราชการลับทางไซเบอร์ที่ยาวนานเป็นปี: การเปิดเผยที่น่าสนใจของ RDStealer มัลแวร์แบบกำหนดเองในบริษัทไอทีเป้าหมาย ภาพหน้าจอ
