Hé lộ một cuộc gián điệp mạng kéo dài một năm: Tiết lộ hấp dẫn về RDStealer phần mềm độc hại tùy chỉnh trong công ty CNTT được nhắm mục tiêu

Đến năm Chance năm Computer Security

Dịch sang:

Một cuộc tấn công mạng quy mô lớn và được lên kế hoạch tỉ mỉ nhắm vào một công ty CNTT Đông Á đã xuất hiện, làm sáng tỏ các chiến thuật phức tạp mà những kẻ đe dọa sử dụng. Hoạt động lâu dài này, kéo dài hơn một năm, được dàn dựng bằng cách triển khai một biến thể phần mềm độc hại tinh vi, RDStealer, được phát triển bằng ngôn ngữ lập trình Golang. Các phát hiện chi tiết được trình bày trong một báo cáo kỹ thuật của nhà nghiên cứu Bitdefender Victor Vrabie cho thấy mục tiêu chính của cuộc tấn công là xâm phạm các thông tin xác thực có giá trị và thực hiện đánh cắp dữ liệu.

Nhiều bằng chứng do công ty an ninh mạng Romania thu thập chỉ ra chiến dịch bắt đầu vào đầu năm 2022, với mục tiêu cụ thể là một công ty CNTT không được tiết lộ ở Đông Á. Tiết lộ này là một lời nhắc nhở rõ ràng về sự tinh vi ngày càng tăng và sự dai dẳng của các mối đe dọa mạng trong thế giới kết nối ngày nay.

Mục lục

Tiết lộ sự tiến bộ

Trong giai đoạn đầu của hoạt động, các trojan truy cập từ xa phổ biến như AsyncRAT và Cobalt Strike đã đóng một vai trò tích cực. Tuy nhiên, phần mềm độc hại được thiết kế tùy chỉnh đã can thiệp để tránh bị phát hiện khi cuộc tấn công diễn ra vào cuối năm 2021 hoặc đầu năm 2022. Một chiến lược đáng chú ý liên quan đến việc sử dụng các thư mục Microsoft Windows được miễn quét bảo mật, chẳng hạn như System32 và Tệp chương trình, để lưu trữ các tải trọng cửa sau. Cách tiếp cận này nhằm mục đích khai thác các hạn chế của phần mềm bảo mật và nâng cao hiệu quả của cuộc tấn công.

Một thư mục con cụ thể đóng vai trò quan trọng trong cuộc tấn công là "C:\Program Files\Dell\CommandUpdate," đóng vai trò là vị trí cho Dell Command | Cập nhật, một ứng dụng hợp pháp của Dell. Điều thú vị là tất cả các máy bị xâm nhập trong suốt vụ việc đều do Dell sản xuất, cho thấy sự lựa chọn có chủ ý của những kẻ đe dọa nhằm sử dụng thư mục này làm ngụy trang cho các hoạt động độc hại của chúng. Quan sát này được củng cố bởi thực tế là những kẻ tấn công đã đăng ký các miền lệnh và kiểm soát (C2) như "dell-a[.]ntp-update[.]com," được thiết kế một cách chiến lược để kết hợp nhuần nhuyễn với môi trường mục tiêu.

Chiến dịch xâm nhập sử dụng một cửa hậu phía máy chủ được gọi là RDStealer, chuyên thu thập dữ liệu liên tục từ khay nhớ tạm và các lần nhấn phím trên máy chủ bị nhiễm. Hành vi này cho phép các tác nhân đe dọa thu thập thông tin nhạy cảm một cách lén lút.

Tính năng nổi bật

Điều làm nên sự khác biệt của cuộc tấn công này là khả năng giám sát các kết nối Giao thức máy tính từ xa (RDP) đến và khai thác một máy từ xa nếu ánh xạ ổ đĩa máy khách được bật. Sau khi phát hiện kết nối máy khách RDP mới, RDStealer đưa ra lệnh trích xuất thông tin nhạy cảm, bao gồm lịch sử duyệt web, thông tin đăng nhập và khóa riêng tư, từ các ứng dụng như mRemoteNG, KeePass và Google Chrome. Điều đó nhấn mạnh rằng các tác nhân đe dọa chủ động nhắm mục tiêu thông tin đăng nhập và lưu kết nối với các hệ thống khác, như Marin Zugec, nhà nghiên cứu tại Bitdefender, đã nhấn mạnh trong một phân tích riêng. Ngoài ra, các ứng dụng khách RDP kết nối với các máy bị xâm nhập sẽ bắt được Logutil, một phần mềm độc hại dựa trên Golang tùy chỉnh khác.

Logutil sử dụng các kỹ thuật tải bên DLL để thiết lập tính bền vững trong mạng nạn nhân và tạo điều kiện thực thi lệnh. Hiện có thông tin hạn chế về tác nhân đe dọa, ngoại trừ hoạt động của chúng kể từ năm 2020. Zugec nhận xét về sự đổi mới liên tục và sự tinh vi ngày càng tăng của tội phạm mạng, những kẻ khai thác các công nghệ mới và đã có uy tín để thực hiện các hoạt động độc hại của chúng. Cuộc tấn công này là minh chứng cho sự phức tạp ngày càng tăng của các mối đe dọa mạng hiện đại và khả năng của các tác nhân đe dọa khai thác các công nghệ được áp dụng rộng rãi.