Une cyberattaque très ciblée contre une société informatique d’Asie de l’Est a impliqué le déploiement d’un logiciel malveillant personnalisé écrit en Golang appelé RDStealer.
« L’opération a été active pendant plus d’un an dans le but final de compromettre les informations d’identification et l’exfiltration de données », a déclaré le chercheur en sécurité de Bitdefender, Victor Vrabie, dans un rapport technique partagé avec The Hacker News.
Les preuves recueillies par la société roumaine de cybersécurité montrent que la campagne a commencé au début de 2022. La cible était une société informatique non spécifiée située en Asie de l’Est.
Dans les premières phases, l’opération reposait sur des chevaux de Troie d’accès à distance facilement disponibles comme AsyncRAT et Cobalt Strike, avant de passer à des logiciels malveillants sur mesure fin 2021 ou début 2022 dans le but de contrecarrer la détection.
Une tactique d’évasion principale concerne l’utilisation de dossiers Microsoft Windows susceptibles d’être exclus de l’analyse par les logiciels de sécurité (par exemple, System32 et Program Files) pour stocker les charges utiles de la porte dérobée.
L’un des sous-dossiers en question est « C:Program FilesDellCommandUpdate », qui est le répertoire d’une application Dell légitime appelée Dell Command | Mise à jour.
Bitdefender a déclaré que toutes les machines infectées au cours de l’incident avaient été fabriquées par Dell, ce qui suggère que les acteurs de la menace ont délibérément choisi ce dossier pour camoufler l’activité malveillante.
Ce raisonnement est renforcé par le fait que l’auteur de la menace a enregistré des domaines de commande et de contrôle (C2) tels que « dell-a[.]mise à jour ntp[.]com » dans le but de se fondre dans l’environnement cible.
L’ensemble d’intrusion se caractérise par l’utilisation d’une porte dérobée côté serveur appelée RDStealer, spécialisée dans la collecte du contenu du presse-papiers et des données de frappe de l’hôte.
Mais ce qui le distingue, c’est sa capacité à « surveiller les RDP entrants [Remote Desktop Protocol] connexions et compromettre une machine distante si le mappage de lecteur client est activé. »
Ainsi, lorsqu’une nouvelle connexion client RDP est détectée, des commandes sont émises par RDStealer pour exfiltrer des données sensibles, telles que l’historique de navigation, les informations d’identification et les clés privées d’applications telles que mRemoteNG, KeePass et Google Chrome.
« Cela met en évidence le fait que les acteurs de la menace recherchent activement des informations d’identification et des connexions enregistrées à d’autres systèmes », a déclaré Marin Zugec de Bitdefender dans une deuxième analyse.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Rejoindre la séance
De plus, les clients RDP qui se connectent sont infectés par un autre logiciel malveillant personnalisé basé sur Golang, connu sous le nom de Logutil, pour maintenir un pied persistant sur le réseau victime à l’aide de techniques de chargement latéral de DLL et faciliter l’exécution des commandes.
On ne sait pas grand-chose sur l’acteur menaçant à part le fait qu’il est actif depuis au moins 2020.
« Les cybercriminels innovent et explorent continuellement de nouvelles méthodes pour améliorer la fiabilité et la furtivité de leurs activités malveillantes », a déclaré Zugec.
« Cette attaque témoigne de la sophistication croissante des cyberattaques modernes, mais souligne également le fait que les acteurs de la menace peuvent tirer parti de leur nouvelle sophistication pour exploiter des technologies plus anciennes et largement adoptées. »
