Enthüllung einer einjährigen Cyber-Spionage: Faszinierende Enthüllung von benutzerdefinierter Malware RDStealer in einem angegriffenen IT-Unternehmen

Von Chance in Computer Security

Übersetzen Sie in:

Es ist ein umfangreicher und sorgfältig geplanter Cyberangriff auf ein ostasiatisches IT-Unternehmen aufgetaucht, der Licht auf die komplexen Taktiken der Bedrohungsakteure wirft. Diese langfristige Operation, die über ein Jahr dauerte, wurde durch den Einsatz einer hochentwickelten Malware-Variante, RDStealer, orchestriert, die mit der Programmiersprache Golang entwickelt wurde. Detaillierte Ergebnisse, die in einem technischen Bericht des Bitdefender-Forschers Victor Vrabie vorgestellt wurden, zeigen, dass das Hauptziel des Angriffs darin bestand, wertvolle Anmeldeinformationen zu kompromittieren und eine Datenexfiltration durchzuführen.

Umfangreiche Beweise, die das rumänische Cybersicherheitsunternehmen gesammelt hat, deuten darauf hin, dass die Kampagne Anfang 2022 gestartet wurde, wobei das konkrete Ziel ein nicht genanntes IT-Unternehmen in Ostasien war. Diese Enthüllung ist eine deutliche Erinnerung an die zunehmende Komplexität und Beständigkeit von Cyber-Bedrohungen in der heutigen vernetzten Welt.

Inhaltsverzeichnis

Den Fortschritt enthüllen

In der Anfangsphase der Operation spielten gängige Remote-Access-Trojaner wie AsyncRAT und Cobalt Strike eine aktive Rolle. Als der Angriff Ende 2021 oder Anfang 2022 fortschritt, griff jedoch speziell entwickelte Malware ein, um der Erkennung zu entgehen. Eine bemerkenswerte Strategie bestand darin, Microsoft Windows-Ordner zu verwenden, die von Sicherheitsscans ausgenommen sind, wie z. B. System32 und Programme, um die Backdoor-Payloads zu speichern. Dieser Ansatz zielte darauf ab, die Einschränkungen der Sicherheitssoftware auszunutzen und die Wirksamkeit des Angriffs zu erhöhen.

Ein bestimmter Unterordner, der bei dem Angriff eine wichtige Rolle spielte, ist „C:\Programme\Dell\CommandUpdate“, der als Speicherort für Dell Command | dient Update, eine legitime Dell-Anwendung. Interessanterweise waren alle während des Vorfalls kompromittierten Maschinen von Dell hergestellt, was auf die bewusste Entscheidung der Bedrohungsakteure hinweist, diesen Ordner als Tarnung für ihre böswilligen Aktivitäten zu nutzen. Diese Beobachtung wird durch die Tatsache untermauert, dass die Angreifer Command-and-Control-Domänen (C2) wie „dell-a[.]ntp-update[.]com“ registriert haben, die strategisch so konzipiert sind, dass sie sich nahtlos in die Zielumgebung einfügen.

Die Einbruchskampagne nutzt eine serverseitige Hintertür namens RDStealer, die darauf spezialisiert ist, kontinuierlich Daten aus der Zwischenablage und Tastenanschlägen auf dem infizierten Host zu sammeln. Dieses Verhalten ermöglicht es den Bedrohungsakteuren, vertrauliche Informationen heimlich zu sammeln.

Das Unterscheidungsmerkmal

Das Besondere an diesem Angriff ist seine Fähigkeit, eingehende RDP-Verbindungen (Remote Desktop Protocol) zu überwachen und einen Remote-Computer auszunutzen, wenn die Client-Laufwerkszuordnung aktiviert ist. Sobald eine neue RDP-Client-Verbindung erkannt wird, gibt RDStealer einen Befehl aus, um vertrauliche Informationen, einschließlich Browserverlauf, Anmeldeinformationen und private Schlüssel, aus Anwendungen wie mRemoteNG, KeePass und Google Chrome zu extrahieren. Dies unterstreicht, dass Bedrohungsakteure aktiv auf Anmeldeinformationen abzielen und Verbindungen zu anderen Systemen speichern, wie Marin Zugec, Forscher bei Bitdefender, in einer separaten Analyse hervorhob. Darüber hinaus fangen die RDP-Clients, die eine Verbindung zu den kompromittierten Maschinen herstellen, Logutil ab, eine weitere benutzerdefinierte Golang-basierte Malware.

Logutil nutzt DLL-Sideloading-Techniken, um eine Persistenz im Netzwerk des Opfers herzustellen und die Befehlsausführung zu erleichtern. Es liegen nur begrenzte Informationen über den Bedrohungsakteur vor, mit Ausnahme seiner Aktivitäten aus dem Jahr 2020. Zugec weist auf die kontinuierliche Innovation und die sich weiterentwickelnde Raffinesse von Cyberkriminellen hin, die neue und etablierte Technologien zur Durchführung ihrer böswilligen Aktivitäten nutzen. Dieser Angriff ist ein Beweis für die zunehmende Komplexität moderner Cyber-Bedrohungen und die Fähigkeit von Bedrohungsakteuren, weit verbreitete Technologien auszunutzen.