Оголошення про річне кібершпигунство: інтригуюче виявлення спеціального шкідливого програмного забезпечення RDStealer у цільовій ІТ-фірмі
З’явилася масштабна та ретельно спланована кібератака, спрямована на східноазіатську ІТ-компанію, що проливає світло на складну тактику, яку використовують зловмисники. Ця довгострокова операція, яка тривала понад рік, була організована шляхом розгортання складного варіанту зловмисного програмного забезпечення RDStealer, розробленого з використанням мови програмування Golang. Детальні висновки, представлені в технічному звіті дослідника Bitdefender Віктора Врабі, показують, що основною метою атаки було скомпрометувати цінні облікові дані та виконати викрадання даних.
Численні докази, зібрані румунською фірмою з кібербезпеки, вказують на початок кампанії на початку 2022 року, а конкретною метою була невідома ІТ-компанія у Східній Азії. Це відкриття є яскравим нагадуванням про розвиток складності та стійкості кіберзагроз у сучасному взаємопов’язаному світі.
Зміст
Розкриття прогресу
На початкових етапах операції активну роль відігравали поширені трояни віддаленого доступу, такі як AsyncRAT і Cobalt Strike . Однак спеціально розроблене зловмисне програмне забезпечення втрутилося, щоб уникнути виявлення, коли атака прогресувала наприкінці 2021 або на початку 2022 року. Примітна стратегія передбачала використання папок Microsoft Windows, виключених із сканування безпеки, таких як System32 і Program Files, для зберігання корисних даних бекдору. Цей підхід був спрямований на використання обмежень програмного забезпечення безпеки та підвищення ефективності атаки.
Особлива підпапка, яка зіграла значну роль в атаці, — це «C:\Program Files\Dell\CommandUpdate», яка служить місцем для Dell Command | Оновлення, законна програма Dell. Цікаво, що всі скомпрометовані машини під час інциденту були виробництва Dell, що вказує на навмисний вибір суб’єктів загрози використовувати цю папку як камуфляж для своїх зловмисних дій. Це спостереження підкріплюється тим фактом, що зловмисники зареєстрували командно-контрольні (C2) домени, такі як "dell-a[.]ntp-update[.]com", стратегічно розроблені для бездоганного включення в цільове середовище.
Кампанія вторгнення використовує бекдор на стороні сервера, відомий як RDStealer, який спеціалізується на постійному зборі даних із буфера обміну та натискань клавіш на зараженому хості. Така поведінка дозволяє суб’єктам загрози таємно збирати конфіденційну інформацію.
Відмінна риса
Що відрізняє цю атаку від інших, так це її здатність відстежувати вхідні з’єднання протоколу віддаленого робочого столу (RDP) і використовувати віддалену машину, якщо ввімкнено відображення дисків клієнта. Після виявлення нового підключення клієнта RDP RDStealer видає команду для вилучення конфіденційної інформації, включаючи історію веб-перегляду, облікові дані та закриті ключі, із таких програм, як mRemoteNG, KeePass і Google Chrome. Це підкреслює, що зловмисники активно атакують облікові дані та зберігають підключення до інших систем, як Марін Зугек, дослідник Bitdefender, підкреслив в окремому аналізі. Крім того, RDP-клієнти, які підключаються до скомпрометованих комп’ютерів, виловлюють Logutil, ще одне спеціальне шкідливе програмне забезпечення на основі Golang.
Logutil використовує методи бокового завантаження DLL, щоб встановити стійкість у мережі жертви та полегшити виконання команд. Доступна обмежена інформація про загрозливого суб’єкта, за винятком його діяльності, що датується 2020 роком. Зугек зазначає про безперервні інновації та розвиток кіберзлочинців, які використовують нові та усталені технології для здійснення своїх зловмисних дій. Ця атака є свідченням зростаючої складності сучасних кіберзагроз і здатності суб’єктів загрози використовувати широко поширені технології.
Оголошення про річне кібершпигунство: інтригуюче виявлення спеціального шкідливого програмного забезпечення RDStealer у цільовій ІТ-фірмі скріншотів
