نفوذ طولانی مدت کشف شده توسط بیت دیفندر به یک شرکت فناوری اطلاعات، با استفاده از نرم افزار مخرب سفارشی به نام RDStealer.

1402/04/07 Site Admin

یک حمله سایبری هدفمند، علیه یک شرکت فناوری اطلاعات در شرق آسیا شامل استفاده از یک بدافزار مخرب سفارشی با نام RDStealer با زبان Golang نوشته‌شده.

ویکتور ورابی، محقق امنیت بیت دیفندر، در گزارشی فنی که با The Hacker News به اشتراک گذاشته‌شده است، اظهار کرد «این عملیات بیش از یک سال باهدف نهایی به خطر انداختن اعتبارنامه‌ها و استخراج داده‌ها فعال بود.»

شواهدی که توسط شرکت امنیت سایبری رومانیایی جمع‌آوری‌شده است نشان می‌دهد که این حمله به نام RedClouds در اوایل سال ۲۰۲۲ آغازشده است. این حمله با منافع عوامل تهدید مستقر در چین مطابقت دارد.

در مراحل ابتدایی، این عملیات در اواخر سال ۲۰۲۱ یا اوایل سال ۲۰۲۲ برای مقابله با شناسایی، بر ابزارهای دسترسی از راه دور و ابزارهای post-exploitation قابل‌دسترسی مانند AsyncRAT و Cobalt Strike تکیه می‌کرد.

یکی از تاکتیک‌های اصلی فرار مربوط به استفاده از پوشه‌های Microsoft Windows است که احتمالاً از اسکن توسط نرم‌افزارهای امنیتی مانند: System32 و Progrsm File برای ذخیره بارهای backdoor استفاده می‌شود.

یکی از زیرپوشه‌های موردنظر “C:\Program Files\Dell\CommandUpdate” است که پوشه‌ای است برای یک برنامه معتبر Dell بانام Dell Command | Update.
شرکت Bitdefende اعلام کرد که تمامی دستگاه‌هایی که در طول این حادثه آلوده‌شده‌اند، توسط شرکت Dell تولیدشده‌اند. که نشان می‌دهد عوامل تهدید، باهدف پنهان کردن فعالیت مخرب عمداً این پوشه را انتخاب کرده‌اند.

این استدلال با واقعیتی تقویت می‌شود که عامل تهدید دامنه‌های کنترل-فرمان (C2) مانند “dell-a[.]ntp- update[.]com” را به‌منظور تلفیق با محیط هدف ثبت کرده است.

مجموعه نفوذ با استفاده از backdoor سمت سرور به نام RDStealer شناخته می‌شود که در جمع‌آوری مداوم محتوای کلیپ بورد و داده‌های ورودی صفحه‌کلید میزبان تخصص دارد. در حال حاضر مشخص نیست که چگونه سرورهای RDP در وهله اول در معرض خطر قرار می‌گیرند.

RDStealer

اما چیزی که آن را متمایز می‌کند، قابلیت آن بر “نظارت بر اتصالات RDP [پروتکل دسک‌تاپ از راه دور] ورودی و در صورت فعال بودن Drive maping برای کلاینت، دستگاه راه دور را به خطر می‌اندازد.”

بنابراین هنگامی‌که یک اتصال کلاینت RDP جدید شناسایی می‌شود، دستوراتی توسط RDStealer برای استخراج داده‌های حساس مانند تاریخچه مرور، اعتبارنامه‌ها و کلیدهای خصوصی از برنامه‌هایی مانند mRemoteNG، KeePass و Google Chrome صادر می‌شود.

Marin Zugec از Bitdefender در تحلیل دوم اظهار کرد ” کشف این حمله این واقعیت را برجسته می‌کند که عوامل تهدید به‌طور فعال به دنبال اعتبار و اتصالات ذخیره‌شده به سیستم‌های دیگر هستند.”

علاوه بر این، کلاینت‌های RDP که به سیستم متصل می‌شوند با یک نرم‌افزار مخرب سفارشی دیگر بر پایه Golang به نام Logutil آلوده می‌شوند تا با استفاده از تکنیک‌های بارگذاری جانبی DLL، در شبکه قربانی ماندگار باقی بمانند و اجرای دستور را آسان‌تر کنند.

اطلاعات زیادی در مورد این عامل تهدید وجود ندارد به‌جز این‌که حداقل از سال ۲۰۲۰ فعال بوده است و دارای پیچیدگی یک تهدید حمایت‌شده توسط دولت می‌باشد.
Zugec می‌گوید: “مجرمان سایبری به‌طور مداوم روش‌های جدیدی را برای افزایش قابلیت اطمینان و مخفی بودن فعالیت‌های مخرب خود ابداع و کشف می‌کنند.”

«این حمله به‌عنوان شاهدی بر پیچیدگی روزافزون حملات سایبری مدرن است، اما همچنین بر این واقعیت تأکید می‌کند که عوامل تهدید می‌توانند از پیچیدگی‌های جدید خود برای بهره‌برداری از فناوری‌های قدیمی‌تر و به‌طور گسترده استفاده کنند.»

مطالب مرتبط