20 juin 2023Ravie Lakshmanan

Une cyberattaque très ciblée contre une société informatique d’Asie de l’Est a impliqué le déploiement d’un logiciel malveillant personnalisé écrit en Golang appelé RDStealer.

“L’opération a été active pendant plus d’un an dans le but final de compromettre les informations d’identification et l’exfiltration de données”, a déclaré Victor Vrabie, chercheur en sécurité chez Bitdefender. a dit dans un rapport technique partagé avec The Hacker News.

Les preuves recueillies par la société roumaine de cybersécurité montrent que la campagne a commencé au début de 2022. La cible était une société informatique non spécifiée située en Asie de l’Est.

Dans les premières phases, l’opération reposait sur des chevaux de Troie d’accès à distance facilement disponibles comme AsyncRAT et Cobalt Strike, avant de passer à des logiciels malveillants sur mesure fin 2021 ou début 2022 dans le but de contrecarrer la détection.

Une tactique d’évasion principale concerne l’utilisation de dossiers Microsoft Windows susceptibles d’être exclus de l’analyse par les logiciels de sécurité (par exemple, System32 et Program Files) pour stocker les charges utiles de la porte dérobée.

La cyber-sécurité

L’un des sous-dossiers en question est “C:Program FilesDellCommandUpdate”, qui est le répertoire d’une application Dell légitime appelée Commande Dell | Mise à jour.

Bitdefender a déclaré que toutes les machines infectées au cours de l’incident avaient été fabriquées par Dell, ce qui suggère que les acteurs de la menace ont délibérément choisi ce dossier pour camoufler l’activité malveillante.

Ce raisonnement est renforcé par le fait que l’auteur de la menace a enregistré des domaines de commande et de contrôle (C2) tels que “dell-a[.]mise à jour ntp[.]com” dans le but de se fondre dans l’environnement cible.

L’ensemble d’intrusion se caractérise par l’utilisation d’une porte dérobée côté serveur appelée RDStealer, qui se spécialise dans la collecte continue du contenu du presse-papiers et des données de frappe de l’hôte.

Mais ce qui le distingue, c’est sa capacité à “surveiller les RDP entrants [Remote Desktop Protocol] connexions et compromettre une machine distante si mappage de lecteur client est autorisé.”

Ainsi, lorsqu’une nouvelle connexion client RDP est détectée, des commandes sont émises par RDStealer pour exfiltrer les données sensibles, telles que l’historique de navigation, les informations d’identification et les clés privées d’applications telles que mRemoteNG, KeePass et Google Chrome.

“Cela met en évidence le fait que les acteurs de la menace recherchent activement des informations d’identification et des connexions enregistrées à d’autres systèmes”, a déclaré Marin Zugec de Bitdefender. a dit dans une seconde analyse.

WEBINAIRE À VENIR

🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque

Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !

Rejoindre la séance

De plus, les clients RDP qui se connectent sont infectés par un autre logiciel malveillant personnalisé basé sur Golang, connu sous le nom de Logutil, pour maintenir un pied persistant sur le réseau victime à l’aide de Techniques de chargement latéral de DLL et faciliter l’exécution des commandes.

On ne sait pas grand-chose sur l’acteur menaçant à part le fait qu’il est actif depuis au moins 2020.

“Les cybercriminels innovent et explorent continuellement de nouvelles méthodes pour améliorer la fiabilité et la furtivité de leurs activités malveillantes”, a déclaré Zugec.

“Cette attaque témoigne de la sophistication croissante des cyberattaques modernes, mais souligne également le fait que les acteurs de la menace peuvent tirer parti de leur nouvelle sophistication pour exploiter des technologies plus anciennes et largement adoptées.”

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57