揭秘長達一年的網絡間諜活動：目標 IT 公司中自定義惡意軟件 RDStealer 的有趣揭露

Computer Security 年Chance年

翻譯為：

針對一家東亞 IT 公司的大規模且精心策劃的網絡攻擊已經出現，揭示了威脅行為者所採用的複雜策略。這次持續一年多的長期行動是通過部署使用 Golang 編程語言開發的複雜惡意軟件變體 RDStealer 精心策劃的。 Bitdefender 研究員 Victor Vrabie 在一份技術報告中提供的詳細調查結果顯示，攻擊的主要目標是破壞有價值的憑證並執行數據洩露。

這家羅馬尼亞網絡安全公司收集的大量證據表明，該活動於 2022 年初發起，具體目標是東亞一家未公開的 IT 公司。這一發現清楚地提醒人們，當今互聯世界中網絡威脅的複雜性和持續性不斷發展。

揭開進展

活動初期， AsyncRAT 、 Cobalt Strike等常見遠程訪問木馬發揮了積極作用。然而，隨著 2021 年底或 2022 年初攻擊的進展，定制設計的惡意軟件介入以逃避檢測。一個值得注意的策略涉及利用免於安全掃描的 Microsoft Windows 文件夾（例如 System32 和 Program Files）來存儲後門有效負載。這種方法旨在利用安全軟件的局限性並提高攻擊的有效性。

在攻擊中發揮重要作用的一個特定子文件夾是“C:\Program Files\Dell\CommandUpdate”，它是 Dell Command | 的位置。更新，合法的戴爾應用程序。有趣的是，整個事件中所有受感染的機器都是戴爾製造的，這表明威脅行為者故意選擇利用此文件夾作為其惡意活動的偽裝。攻擊者註冊了諸如“dell-a[.]ntp-update[.]com”之類的命令和控制 (C2) 域，這一事實強化了這一觀察結果，這些域在戰略上旨在無縫融入目標環境。

該入侵活動利用了名為 RDStealer 的服務器端后門，該後門專門從受感染主機的剪貼板和擊鍵中持續收集數據。這種行為允許威脅行為者秘密收集敏感信息。

特色

這種攻擊的獨特之處在於它能夠監視傳入的遠程桌面協議 (RDP) 連接，並在啟用客戶端驅動器映射的情況下利用遠程計算機。一旦檢測到新的 RDP 客戶端連接，RDStealer 就會發出命令從 mRemoteNG、KeePass 和 Google Chrome 等應用程序中提取敏感信息，包括瀏覽歷史記錄、憑據和私鑰。正如 Bitdefender 研究員 Marin Zugec 在另一項分析中強調的那樣，這強調了威脅行為者主動瞄準憑據並保存與其他系統的連接。此外，連接到受感染計算機的 RDP 客戶端會捕獲 Logutil，這是另一種基於 Golang 的自定義惡意軟件。

Logutil 採用 DLL 側面加載技術在受害者網絡中建立持久性並促進命令執行。除了可追溯至 2020 年的活動外，有關威脅行為者的可用信息有限。Zugec 評論了網絡犯罪分子的不斷創新和不斷發展的複雜性，他們利用新技術和成熟技術來開展惡意活動。這次攻擊證明了現代網絡威脅日益複雜，以及威脅行為者利用廣泛採用的技術的能力。