Paglalahad ng Taon-Taon na Cyber Espionage: Nakakaintriga na Pagbubunyag ng Custom na Malware RDStealer sa Naka-target na IT Firm
Isang malawak at masusing binalak na cyber attack na nagta-target sa isang East Asian IT firm ay lumitaw, na nagbibigay-liwanag sa mga kumplikadong taktika na ginagamit ng mga aktor ng pagbabanta. Ang pangmatagalang operasyon na ito, na tumatagal ng higit sa isang taon, ay inayos sa pamamagitan ng pag-deploy ng isang sopistikadong variant ng malware, ang RDStealer, na binuo gamit ang Golang programming language. Ang mga detalyadong natuklasan na ipinakita sa isang teknikal na ulat ng Bitdefender researcher na si Victor Vrabie ay nagpapakita na ang pangunahing layunin ng pag-atake ay upang ikompromiso ang mahahalagang kredensyal at magsagawa ng data exfiltration.
Ang malawak na ebidensyang nakalap ng Romanian cybersecurity firm ay tumuturo sa pagsisimula ng kampanya sa unang bahagi ng 2022, na ang partikular na target ay isang hindi inihayag na kumpanya ng IT sa East Asia. Ang paghahayag na ito ay isang matinding paalala ng umuusbong na pagiging sopistikado at pagpapatuloy ng mga banta sa cyber sa magkakaugnay na mundo ngayon.
Talaan ng mga Nilalaman
Paglalahad ng Pag-unlad
Sa mga unang yugto ng operasyon, ang mga karaniwang remote access na trojan tulad ng AsyncRAT at Cobalt Strike ay gumaganap ng aktibong papel. Gayunpaman, pumasok ang custom-designed na malware upang maiwasan ang pag-detect habang umuusad ang pag-atake noong huling bahagi ng 2021 o unang bahagi ng 2022. Isang kapansin-pansing diskarte ang kasangkot sa paggamit ng mga folder ng Microsoft Windows na hindi kasama sa mga pag-scan sa seguridad, gaya ng System32 at Program Files, upang iimbak ang mga backdoor payload. Ang diskarte na ito ay naglalayong samantalahin ang mga limitasyon ng software ng seguridad at pahusayin ang pagiging epektibo ng pag-atake.
Ang isang partikular na sub-folder na may mahalagang papel sa pag-atake ay ang "C:\Program Files\Dell\CommandUpdate," na nagsisilbing lokasyon para sa Dell Command | Update, isang lehitimong Dell application. Kapansin-pansin, ang lahat ng nakompromisong makina sa buong insidente ay ginawa ng Dell, na nagpapahiwatig ng sinasadyang pagpili ng mga banta ng aktor na gamitin ang folder na ito bilang isang pagbabalatkayo para sa kanilang mga malisyosong aktibidad. Ang obserbasyon na ito ay pinalalakas ng katotohanang ang mga umaatake ay nagrehistro ng mga command-and-control (C2) na domain tulad ng "dell-a[.]ntp-update[.]com," na madiskarteng idinisenyo upang magkahalo nang walang putol sa target na kapaligiran.
Gumagamit ang intrusion campaign ng server-side backdoor na kilala bilang RDStealer, na dalubhasa sa patuloy na pangangalap ng data mula sa clipboard at mga keystroke sa infected na host. Ang pag-uugali na ito ay nagpapahintulot sa mga aktor ng pagbabanta na mangolekta ng sensitibong impormasyon nang palihim.
Ang Natatanging Tampok
Ang pinagkaiba ng pag-atakeng ito ay ang kakayahang subaybayan ang mga papasok na Remote Desktop Protocol (RDP) na koneksyon at pagsamantalahan ang isang malayuang makina kung pinagana ang pagmamapa ng client drive. Kapag may natukoy na bagong koneksyon sa RDP client, naglalabas ang RDStealer ng command upang kunin ang sensitibong impormasyon, kabilang ang kasaysayan ng pagba-browse, mga kredensyal, at pribadong key, mula sa mga application tulad ng mRemoteNG, KeePass, at Google Chrome. Iyon ay nagbibigay-diin na ang mga aktor ng pagbabanta ay aktibong nagta-target ng mga kredensyal at nagse-save ng mga koneksyon sa iba pang mga system, gaya ng itinampok ni Marin Zugec, isang mananaliksik sa Bitdefender, sa isang hiwalay na pagsusuri. Bilang karagdagan, ang mga kliyente ng RDP na kumokonekta sa mga nakompromisong machine ay nakakakuha ng Logutil, isa pang custom na malware na nakabase sa Golang.
Gumagamit ang Logutil ng mga diskarte sa side-loading ng DLL upang magtatag ng pagtitiyaga sa loob ng network ng biktima at mapadali ang pagpapatupad ng command. Available ang limitadong impormasyon tungkol sa banta ng aktor, maliban sa kanilang aktibidad na itinayo noong 2020. Binanggit ni Zugec ang patuloy na pagbabago at umuusbong na pagiging sopistikado ng mga cybercriminal, na nagsasamantala sa mga bago at itinatag na teknolohiya upang maisagawa ang kanilang mga malisyosong aktibidad. Ang pag-atake na ito ay nagsisilbing isang patunay sa pagtaas ng pagiging kumplikado ng mga modernong banta sa cyber at ang kakayahan ng mga aktor ng pagbabanta na pagsamantalahan ang malawakang pinagtibay na mga teknolohiya.
Paglalahad ng Taon-Taon na Cyber Espionage: Nakakaintriga na Pagbubunyag ng Custom na Malware RDStealer sa Naka-target na IT Firm Mga screenshot
