یک حمله سایبری هدفمند، علیه یک شرکت فناوری اطلاعات در شرق آسیا شامل استفاده از یک بدافزار مخرب سفارشی با نام RDStealer با زبان Golang نوشتهشده.
ویکتور ورابی، محقق امنیت بیت دیفندر، در گزارشی فنی که با The Hacker News به اشتراک گذاشتهشده است، اظهار کرد «این عملیات بیش از یک سال باهدف نهایی به خطر انداختن اعتبارنامهها و استخراج دادهها فعال بود.»
شواهدی که توسط شرکت امنیت سایبری رومانیایی جمعآوریشده است نشان میدهد که این حمله به نام RedClouds در اوایل سال 2022 آغازشده است. این حمله با منافع عوامل تهدید مستقر در چین مطابقت دارد.
در مراحل ابتدایی، این عملیات در اواخر سال 2021 یا اوایل سال 2022 برای مقابله با شناسایی، بر ابزارهای دسترسی از راه دور و ابزارهای post-exploitation قابلدسترسی مانند AsyncRAT و Cobalt Strike تکیه میکرد.
یکی از تاکتیکهای اصلی فرار مربوط به استفاده از پوشههای Microsoft Windows است که احتمالاً از اسکن توسط نرمافزارهای امنیتی مانند: System32 و Progrsm File برای ذخیره بارهای backdoor استفاده میشود.
یکی از زیرپوشههای موردنظر “C:\Program Files\Dell\CommandUpdate” است که پوشهای است برای یک برنامه معتبر Dell بانام Dell Command | Update.
شرکت Bitdefende اعلام کرد که تمامی دستگاههایی که در طول این حادثه آلودهشدهاند، توسط شرکت Dell تولیدشدهاند. که نشان میدهد عوامل تهدید، باهدف پنهان کردن فعالیت مخرب عمداً این پوشه را انتخاب کردهاند.
این استدلال با واقعیتی تقویت میشود که عامل تهدید دامنههای کنترل-فرمان (C2) مانند “dell-a[.]ntp- update[.]com” را بهمنظور تلفیق با محیط هدف ثبت کرده است.
مجموعه نفوذ با استفاده از backdoor سمت سرور به نام RDStealer شناخته میشود که در جمعآوری مداوم محتوای کلیپ بورد و دادههای ورودی صفحهکلید میزبان تخصص دارد. در حال حاضر مشخص نیست که چگونه سرورهای RDP در وهله اول در معرض خطر قرار میگیرند.
اما چیزی که آن را متمایز میکند، قابلیت آن بر “نظارت بر اتصالات RDP [پروتکل دسکتاپ از راه دور] ورودی و در صورت فعال بودن Drive maping برای کلاینت، دستگاه راه دور را به خطر میاندازد.”
بنابراین هنگامیکه یک اتصال کلاینت RDP جدید شناسایی میشود، دستوراتی توسط RDStealer برای استخراج دادههای حساس مانند تاریخچه مرور، اعتبارنامهها و کلیدهای خصوصی از برنامههایی مانند mRemoteNG، KeePass و Google Chrome صادر میشود.
Marin Zugec از Bitdefender در تحلیل دوم اظهار کرد ” کشف این حمله این واقعیت را برجسته میکند که عوامل تهدید بهطور فعال به دنبال اعتبار و اتصالات ذخیرهشده به سیستمهای دیگر هستند.”
علاوه بر این، کلاینتهای RDP که به سیستم متصل میشوند با یک نرمافزار مخرب سفارشی دیگر بر پایه Golang به نام Logutil آلوده میشوند تا با استفاده از تکنیکهای بارگذاری جانبی DLL، در شبکه قربانی ماندگار باقی بمانند و اجرای دستور را آسانتر کنند.
اطلاعات زیادی در مورد این عامل تهدید وجود ندارد بهجز اینکه حداقل از سال 2020 فعال بوده است و دارای پیچیدگی یک تهدید حمایتشده توسط دولت میباشد.
Zugec میگوید: “مجرمان سایبری بهطور مداوم روشهای جدیدی را برای افزایش قابلیت اطمینان و مخفی بودن فعالیتهای مخرب خود ابداع و کشف میکنند.”
«این حمله بهعنوان شاهدی بر پیچیدگی روزافزون حملات سایبری مدرن است، اما همچنین بر این واقعیت تأکید میکند که عوامل تهدید میتوانند از پیچیدگیهای جدید خود برای بهرهبرداری از فناوریهای قدیمیتر و بهطور گسترده استفاده کنند.»
