Un ataque cibernético altamente dirigido contra una empresa de TI de Asia oriental involucró el despliegue de un malware personalizado escrito en Golang llamado RDStealer.
«La operación estuvo activa durante más de un año con el objetivo final de comprometer las credenciales y la exfiltración de datos», dijo el investigador de seguridad de Bitdefender, Victor Vrabie. dicho en un informe técnico compartido con The Hacker News.
La evidencia recopilada por la empresa de ciberseguridad rumana muestra que la campaña comenzó a principios de 2022. El objetivo era una empresa de TI no especificada ubicada en el este de Asia.
En las primeras fases, la operación se basó en troyanos de acceso remoto fácilmente disponibles como AsyncRAT y Cobalt Strike, antes de pasar a malware personalizado a fines de 2021 o principios de 2022 en un intento por frustrar la detección.
Una táctica de evasión principal se refiere al uso de carpetas de Microsoft Windows que es probable que el software de seguridad excluya del análisis (p. ej., System32 y Archivos de programa) para almacenar las cargas útiles de la puerta trasera.
Una de las subcarpetas en cuestión es «C:Archivos de programaDellCommandUpdate», que es el directorio de una aplicación legítima de Dell llamada Comando Dell | Actualizar.
Bitdefender dijo que todas las máquinas infectadas en el transcurso del incidente fueron fabricadas por Dell, lo que sugiere que los atacantes eligieron deliberadamente esta carpeta para camuflar la actividad maliciosa.
Esta línea de razonamiento se ve reforzada por el hecho de que el autor de la amenaza registró dominios de comando y control (C2) como «dell-a[.]actualización ntp[.]com» con el objetivo de integrarse en el entorno de destino.
El conjunto de intrusión se caracteriza por el uso de una puerta trasera del lado del servidor llamada RDStealer, que se especializa en recopilar continuamente contenido del portapapeles y datos de pulsaciones de teclas del host.
Pero lo que lo hace destacar es su capacidad para «supervisar RDP entrantes [Remote Desktop Protocol] conexiones y comprometer una máquina remota si asignación de unidades del cliente está habilitado.»
Por lo tanto, cuando se detecta una nueva conexión de cliente RDP, RDStealer emite comandos para filtrar datos confidenciales, como el historial de navegación, las credenciales y las claves privadas de aplicaciones como mRemoteNG, KeePass y Google Chrome.
«Esto destaca el hecho de que los actores de amenazas buscan activamente credenciales y guardan conexiones con otros sistemas», Marin Zugec de Bitdefender. dicho en un segundo análisis.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Además, los clientes RDP que se conectan están infectados con otro malware personalizado basado en Golang conocido como Logutil para mantener un punto de apoyo persistente en la red de la víctima usando Técnicas de carga lateral de DLL y facilitar la ejecución de comandos.
No se sabe mucho sobre el actor de amenazas, aparte del hecho de que ha estado activo desde al menos 2020.
«Los ciberdelincuentes continuamente innovan y exploran métodos novedosos para mejorar la confiabilidad y el sigilo de sus actividades maliciosas», dijo Zugec.
«Este ataque sirve como testimonio de la creciente sofisticación de los ataques cibernéticos modernos, pero también subraya el hecho de que los actores de amenazas pueden aprovechar su nueva sofisticación para explotar tecnologías más antiguas y ampliamente adoptadas».