Dévoilement d'un cyberespionnage d'un an : révélation intrigante d'un logiciel malveillant RDStealer personnalisé dans une entreprise informatique ciblée
Une cyberattaque étendue et méticuleusement planifiée visant une entreprise informatique d'Asie de l'Est a été lancée, mettant en lumière les tactiques complexes employées par les acteurs de la menace. Cette opération de longue haleine, qui a duré plus d'un an, a été orchestrée en déployant une variante sophistiquée de malware, RDStealer, développée à l'aide du langage de programmation Golang. Les résultats détaillés présentés dans un rapport technique du chercheur de Bitdefender, Victor Vrabie, révèlent que l'objectif principal de l'attaque était de compromettre des informations d'identification précieuses et d'exécuter une exfiltration de données.
De nombreuses preuves recueillies par la société roumaine de cybersécurité indiquent le lancement de la campagne au début de 2022, la cible spécifique étant une société informatique non divulguée en Asie de l'Est. Cette révélation est un rappel brutal de l'évolution de la sophistication et de la persistance des cybermenaces dans le monde interconnecté d'aujourd'hui.
Table des matières
Dévoiler la progression
Au cours des premières étapes de l'opération, des chevaux de Troie d'accès à distance courants tels que AsyncRAT et Cobalt Strike ont joué un rôle actif. Cependant, des logiciels malveillants conçus sur mesure sont intervenus pour échapper à la détection au fur et à mesure que l'attaque progressait fin 2021 ou début 2022. Une stratégie notable impliquait l'utilisation de dossiers Microsoft Windows exemptés d'analyses de sécurité, tels que System32 et Program Files, pour stocker les charges utiles de la porte dérobée. Cette approche visait à exploiter les limites des logiciels de sécurité et à améliorer l'efficacité de l'attaque.
Un sous-dossier spécifique qui a joué un rôle important dans l'attaque est "C:\Program Files\Dell\CommandUpdate", qui sert d'emplacement pour Dell Command | Update, une application Dell légitime. Fait intéressant, toutes les machines compromises tout au long de l'incident étaient fabriquées par Dell, ce qui indique un choix délibéré par les acteurs de la menace d'utiliser ce dossier comme camouflage pour leurs activités malveillantes. Cette observation est renforcée par le fait que les attaquants ont enregistré des domaines de commande et de contrôle (C2) tels que "dell-a[.]ntp-update[.]com", stratégiquement conçus pour se fondre de manière transparente dans l'environnement cible.
La campagne d'intrusion utilise une porte dérobée côté serveur connue sous le nom de RDStealer, qui se spécialise dans la collecte continue de données à partir du presse-papiers et des frappes sur l'hôte infecté. Ce comportement permet aux acteurs de la menace de collecter subrepticement des informations sensibles.
Le trait distinctif
Ce qui distingue cette attaque est sa capacité à surveiller les connexions RDP (Remote Desktop Protocol) entrantes et à exploiter une machine distante si le mappage du lecteur client est activé. Une fois qu'une nouvelle connexion client RDP est détectée, RDStealer émet une commande pour extraire des informations sensibles, notamment l'historique de navigation, les informations d'identification et les clés privées, à partir d'applications telles que mRemoteNG, KeePass et Google Chrome. Cela souligne que les acteurs de la menace ciblent activement les informations d'identification et enregistrent les connexions à d'autres systèmes, comme l'a souligné Marin Zugec, chercheur chez Bitdefender, dans une analyse distincte. De plus, les clients RDP se connectant aux machines compromises attrapent Logutil, un autre logiciel malveillant personnalisé basé sur Golang.
Logutil utilise des techniques de chargement latéral de DLL pour établir la persistance au sein du réseau victime et faciliter l'exécution des commandes. Des informations limitées sur l'acteur de la menace sont disponibles, à l'exception de son activité remontant à 2020. Zugec remarque l'innovation continue et la sophistication en constante évolution des cybercriminels, qui exploitent des technologies nouvelles et établies pour mener à bien leurs activités malveillantes. Cette attaque témoigne de la complexité croissante des cybermenaces modernes et de la capacité des acteurs de la menace à exploiter des technologies largement adoptées.
Dévoilement d'un cyberespionnage d'un an : révélation intrigante d'un logiciel malveillant RDStealer personnalisé dans une entreprise informatique ciblée captures d'écran
