RDStealer

Τα εργαστήρια της Bitdefender δημοσίευσαν τον προηγούμενο μήνα ένα ερευνητικό έγγραφο που αναφέρεται στην επιχείρηση κατασκοπείας στην Ανατολική Ασία που βρίσκεται σε εξέλιξη ήδη από τo 2020. Δυστυχώς, η απειλή δεν έχει διευκρινιστεί ακόμα, παρά μόνο ένα κακόβουλο λογισμικό, το RDStealer. Το συγκεκριμένο κακόβουλο λογισμικό σχεδιάστηκε για να παρακολουθεί τις εισερχόμενες συνδέσεις του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP), μολύνοντας χρήστες που συνδέονται και υποκλέπτοντας τα ευαίσθητα δεδομένα τους. Η Bitdefender κάνει αναφορά για δύο προσαρμοσμένα εργαλεία, με τα οποία η επιχείρηση κατασκοπείας ξεχωρίζει, τα οποία είναι γραμμένα στη γλώσσα προγραμματισμού Go – το backdoor Logutil και το κακόβουλο λογισμικό RDStealer.

Η γλώσσα προγραμματισμού Go προσφέρει στους εγκληματίες την δυνατότητα να δημιουργούν κακόβουλους κώδικες, τους οποίους μπορούν να εκτελέσουν σε πολλά λειτουργικά συστήματα.

Η ανατομία της επίθεσης

Όπως προαναφέρθηκε, η επίθεση έκανε την εμφάνισή της από το 2020. Αρχικά, οι εγκληματίες βασίστηκαν σε εύκολα διαθέσιμα εργαλεία όπως είναι το AsyncRat ή το Cobalt Strike και έπειτα χρησιμοποίησαν το κακόβουλο λογισμικό. Ως πρωταρχικός σκοπός της επίθεσης ήταν η κλοπή διαπιστευτηρίων και η διαρροή δεδομένων. Οι εγκληματίες χρησιμοποίησαν φακέλους που είναι λιγότερο ύποπτοι και αποκλείονταν από τη σάρωση των λύσεων ασφαλείας. Πιο συγκεκριμένα, χρησιμοποιούν τοποθεσίες %PROGRAM_FILES% και %PROGRAM_FILES_x86% που στόχο έχουν την απομίμηση νόμιμων λειτουργιών.

Επίσης, παρατηρήθηκε ότι χρησιμοποιούν και μια πρόσθετη τοποθεσία την %WinDir%\security\database και αφορά φάκελο που αποσκοπεί ως χώρος αποθήκευσης για τις βάσεις δεδομένων των Windows.

Το RDStealer αποτελεί ένα ισχυρό κακόβουλο λογισμικό, το οποίο εκμεταλλεύεται ευπάθειες σε συστήματα με δυνατότητα RDP. Το λογισμικό μπορεί να διεισδύσει σε ένα σύστημα μέσω διάφορων τρόπων π.χ. μηνύματα ηλεκτρονικού ταχυδρομείου phishing. Μόλις εισέλθει σε ένα σύστημα, συλλέγει ευαίσθητα δεδομένα και πληροφορίες. Το κακόβουλο λογισμικό RDStealer έχει την δυνατότητα παραβίασης απομακρυσμένου μηχανήματος στην περίπτωση που είναι ενεργοποιημένη η αντίστοιχη μονάδα δίσκου.

Το CDM αποτελεί την χαρτογράφηση μονάδας δίσκου πελάτη και είναι ένα από τα εικονικά κανάλια που υλοποιούνται ως μέρος του πρωτοκόλλου RDP. Με αυτόν τον τρόπο, επιτρέπεται η μεταφορά δεδομένων από τον χρήστη στον διακομιστή. Επίσης, δίνεται η δυνατότητα στους χρήστες να έχουν πρόσβαση και να μεταφέρουν αρχεία μεταξύ του απομακρυσμένου διακομιστή και του τοπικού μηχανήματος που είναι συνδεδεμένοι μέσω RDP.

Με την εγκατάσταση του κακόβουλου λογισμικού στο σύστημα, ξεκινάει η συλλογή δεδομένων από τον κεντρικό υπολογιστή. Έπειτα, τα δεδομένα αυτά αποθηκεύονται στο αρχείο καταγραφής C:\users\public\log.log με τη μορφή κρυπτογραφημένων συμβολοσειρών.

Πιο συγκεκριμένα, οι δυνατότητες του RDStealer είναι :

Ενσωμάτωση δυνατοτήτων keylogging που επιτρέπει την καταγραφή πληκτρολογήσεων και ονομάτων χρηστών και κωδικών πρόσβασης που συνδέονται στο RPD
Συλλογή διαπιστευτηρίων μέσω διαφόρων τακτικών π.χ. phishing
Μεταφορά κλεμμένων πληροφοριών στους διακομιστές των επιτιθέμενων
Κλιμάκωση των δικαιωμάτων του εντός του συστήματος, ενώ επιτρέπει και την απόκτηση διαχειριστικού ελέγχου

Η Bitdefender, Παγκόσμιος Ηγέτης του Cyber Security, με στόχο να προσφέρει σε οργανισμούς και επιχειρήσεις ένα ασφαλές περιβάλλον για να πραγματοποιούν τις εργασίες τους, σχεδίασε την ολοκληρωμένη πλατφόρμα ασφαλείας GravityZone που στοχεύει στην ανίχνευση και αντιμετώπιση ακόμα και των πιο προηγμένων επιθέσεων.

Βρείτε την λύση που ταιριάζει στις δικές σας ανάγκες και θωρακίστε την υποδομή σας.

Επικοινωνία : info@bitdefender.gr | www.bitdefender.gr | 215-5353030