揭秘长达一年的网络间谍活动：目标 IT 公司中自定义恶意软件 RDStealer 的有趣揭露

通过Chance在 Computer Security

翻译为：

针对一家东亚 IT 公司的大规模且精心策划的网络攻击已经出现，揭示了威胁行为者所采用的复杂策略。这次持续一年多的长期行动是通过部署使用 Golang 编程语言开发的复杂恶意软件变体 RDStealer 精心策划的。 Bitdefender 研究员 Victor Vrabie 在一份技术报告中提供的详细调查结果显示，攻击的主要目标是破坏有价值的凭证并执行数据泄露。

这家罗马尼亚网络安全公司收集的大量证据表明，该活动于 2022 年初发起，具体目标是东亚一家未公开的 IT 公司。这一发现清楚地提醒人们，当今互联世界中网络威胁的复杂性和持续性不断演变。

揭开进展

活动初期， AsyncRAT 、 Cobalt Strike等常见远程访问木马发挥了积极作用。然而，随着 2021 年底或 2022 年初攻击的进展，定制设计的恶意软件介入以逃避检测。一个值得注意的策略涉及利用免于安全扫描的 Microsoft Windows 文件夹（例如 System32 和 Program Files）来存储后门有效负载。这种方法旨在利用安全软件的局限性并提高攻击的有效性。

在攻击中发挥重要作用的一个特定子文件夹是“C:\Program Files\Dell\CommandUpdate”，它是 Dell Command | 的位置。更新，合法的戴尔应用程序。有趣的是，整个事件中所有受感染的机器都是戴尔制造的，这表明威胁行为者故意选择利用此文件夹作为其恶意活动的伪装。攻击者注册了诸如“dell-a[.]ntp-update[.]com”之类的命令和控制 (C2) 域，这一事实强化了这一观察结果，这些域在战略上旨在无缝融入目标环境。

该入侵活动利用了名为 RDStealer 的服务器端后门，该后门专门从受感染主机的剪贴板和击键中持续收集数据。这种行为允许威胁行为者秘密收集敏感信息。

特色

这种攻击的独特之处在于它能够监视传入的远程桌面协议 (RDP) 连接，并在启用客户端驱动器映射的情况下利用远程计算机。一旦检测到新的 RDP 客户端连接，RDStealer 就会发出命令从 mRemoteNG、KeePass 和 Google Chrome 等应用程序中提取敏感信息，包括浏览历史记录、凭据和私钥。正如 Bitdefender 研究员 Marin Zugec 在另一项分析中强调的那样，这强调了威胁行为者主动瞄准凭据并保存与其他系统的连接。此外，连接到受感染计算机的 RDP 客户端会捕获 Logutil，这是另一种基于 Golang 的自定义恶意软件。

Logutil 采用 DLL 侧面加载技术在受害者网络中建立持久性并促进命令执行。除了可追溯至 2020 年的活动外，有关威胁行为者的可用信息有限。Zugec 评论了网络犯罪分子的不断创新和不断发展的复杂性，他们利用新技术和成熟技术来开展恶意活动。这次攻击证明了现代网络威胁日益复杂，以及威胁行为者利用广泛采用的技术的能力。