Bir Yıl Boyunca Siber Casusluğu Ortaya Çıkarma: Hedeflenen BT Firmasında Özel Kötü Amaçlı Yazılım RDStealer'ın İlgi Çekici Keşfi

Chance'de Computer Security'de

Çevir:

Doğu Asyalı bir bilişim firmasını hedef alan kapsamlı ve titizlikle planlanmış bir siber saldırı gündeme geldi ve tehdit aktörlerinin karmaşık taktiklerine ışık tuttu. Bir yıldan uzun süren bu uzun vadeli operasyon, Golang programlama dili kullanılarak geliştirilen gelişmiş bir kötü amaçlı yazılım çeşidi olan RDStealer kullanılarak yönetildi. Bitdefender araştırmacısı Victor Vrabie tarafından hazırlanan teknik bir raporda sunulan ayrıntılı bulgular, saldırının birincil amacının değerli kimlik bilgilerini tehlikeye atmak ve veri hırsızlığı gerçekleştirmek olduğunu ortaya koyuyor.

Rumen siber güvenlik firması tarafından toplanan kapsamlı kanıtlar, kampanyanın 2022'nin başlarında başlatıldığına ve özel hedefin Doğu Asya'da açıklanmayan bir BT şirketi olduğuna işaret ediyor. Bu ifşaat, günümüzün birbirine bağlı dünyasında siber tehditlerin gelişen karmaşıklığının ve kalıcılığının kesin bir hatırlatıcısıdır.

İçindekiler

İlerlemenin Açıklanması

Operasyonun ilk aşamalarında, AsyncRAT ve Cobalt Strike gibi yaygın uzaktan erişim truva atları aktif bir rol oynadı. Ancak, saldırı 2021'in sonlarında veya 2022'nin başlarında ilerlerken, özel olarak tasarlanmış kötü amaçlı yazılımlar tespit edilmekten kaçınmak için devreye girdi. Dikkate değer bir strateji, arka kapı yüklerini depolamak için güvenlik taramalarından muaf tutulan System32 ve Program Files gibi Microsoft Windows klasörlerinin kullanılmasını içeriyordu. Bu yaklaşım, güvenlik yazılımının sınırlamalarından yararlanmayı ve saldırının etkinliğini artırmayı amaçlıyordu.

Saldırıda önemli bir rol oynayan belirli bir alt klasör, Dell Command | Update, meşru bir Dell uygulaması. İlginç bir şekilde, olay boyunca ele geçirilen tüm makineler Dell tarafından üretilmişti ve bu, tehdit aktörlerinin bu klasörü kötü niyetli faaliyetleri için bir kamuflaj olarak kullanmayı kasıtlı olarak seçtiklerini gösteriyor. Bu gözlem, saldırganların "dell-a[.]ntp-update[.]com" gibi, hedef ortama sorunsuz bir şekilde uyum sağlamak üzere stratejik olarak tasarlanmış komut ve kontrol (C2) etki alanlarını kaydettirdiği gerçeğiyle destekleniyor.

İzinsiz giriş kampanyası, RDStealer olarak bilinen ve virüslü ana bilgisayardaki panodan ve tuş vuruşlarından sürekli olarak veri toplama konusunda uzmanlaşmış, sunucu tarafı bir arka kapı kullanır. Bu davranış, tehdit aktörlerinin hassas bilgileri gizlice toplamasına olanak tanır.

Ayırt Edici Özellik

Bu saldırıyı diğerlerinden ayıran şey, gelen Uzak Masaüstü Protokolü (RDP) bağlantılarını izleme ve istemci sürücü eşleme etkinleştirilmişse uzak bir makineden yararlanma yeteneğidir. Yeni bir RDP istemci bağlantısı algılandığında, RDStealer mRemoteNG, KeePass ve Google Chrome gibi uygulamalardan tarama geçmişi, kimlik bilgileri ve özel anahtarlar dahil olmak üzere hassas bilgileri ayıklamak için bir komut verir. Bitdefender'da bir araştırmacı olan Marin Zugec'in ayrı bir analizde vurguladığı gibi, bu, tehdit aktörlerinin kimlik bilgilerini aktif olarak hedeflediğini ve diğer sistemlere olan bağlantıları kaydettiğini vurguluyor. Ek olarak, güvenliği ihlal edilmiş makinelere bağlanan RDP istemcileri, başka bir özel Golang tabanlı kötü amaçlı yazılım olan Logutil'i yakalar.

Logutil, kurban ağı içinde kalıcılık sağlamak ve komut yürütmeyi kolaylaştırmak için DLL yandan yükleme tekniklerini kullanır. Tehdit aktörü hakkında, 2020'ye kadar uzanan faaliyetleri dışında sınırlı bilgi mevcuttur. Zugec, kötü niyetli faaliyetlerini gerçekleştirmek için yeni ve yerleşik teknolojileri kullanan siber suçluların sürekli yenilikçiliğine ve gelişen karmaşıklığına dikkat çekiyor. Bu saldırı, modern siber tehditlerin artan karmaşıklığının ve tehdit aktörlerinin yaygın olarak benimsenen teknolojilerden yararlanma yeteneklerinin bir kanıtı olarak hizmet ediyor.