بدافزاری ناشناخته برای جاسوسی در بستر RDP

شرکت بیت‌دیفندر (Bitdefender)، جزییات یک حمله سایبری بسیار هدفمند را منتشر کرده که در جریان آن، مهاجمان بیش از یک سال سازمانی در شرق آسیا را تحت نفوذ خود قرار داده بودند.

در این کارزار که شرکت رومانیایی بیت‌دیفندر از آن با عنوان RedClouds یاد کرده از یک بدافزار کاملاً سفارشی با نام RDStealer استفاده شده است.

RDStealer بدافزاری پشرفته و برنامه‌نویسی‌شده به زبان Golang است.

از جمله تکنیک‌های مهاجمان این کارزار، ذخیره فایل‌های مورداستفاده آنها در پوشه‌های System32 و Program Files بوده است.

 

 

برای جلوگیری از کاهش کارایی دستگاه، برخی محصولات ضدویروس [یا راهبران آنها] اقدام به مستثنی‌سازی این پوشه‌ها و زیرپوشه‌های آنها در تنظیمات ضدویروس می‌کنند تا اسکن فایل‌های ذخیره‌شده در آن مسیرها موجب کاهش کارایی دستگاه نشود. بنابراین در نگاه اول، بکارگیری این تکنیک می‌تواند با هدف عبور از سد کنترل‌های امنیتی باشد. اما به نظر می‌رسد ظرافت مهاجمان در مخفی نگاه داشتن فعالیت‌های خود بیش از اینها بوده  است.

برای مثال، C:\Program Files\Dell\CommandUpdate که مسیر واقعی به‌روزرسانی‌های Dell است حاوی فایل‌های مخرب مرتبط با این کارزار گزارش شده است. جالب‌تر این‌که تمام ماشین‌های آلوده‌شده در این کارزار ساخت شرکت Dell هستند که نشان می‌دهد عوامل تهدید عمدا این پوشه را برای استتار فعالیت مخرب انتخاب کرده‌اند.

این استدلال با این واقعیت تقویت می‌شود که در نام دامنه برخی سرورهای فرماندهی (C2) این مهاجمان کلمه dell نیز به چشم می‌خورد.

 

 

مهاجمان پس از آلوده‌سازی سرور به RDStealer اقدام به ضبط محتوای کپی شده در کلیپ‌بورد و کلیدهای فشرده‌شده می‌کنند. در حال حاضر، مشخص نیست که سرورهای RDP در وهله اول چگونه در معرض خطر قرار می‌گیرند.

اما چیزی که RDStealer را از سایر بدافزارهای درب‌پشتی (Backdoor) متمایز می‌کند، توانایی آن در رصد ارتباطات RDP بر روی ماشین آلوده است.

بر طبق گزارش بیت‌دیفندر، ماشینی که ارتباط RDP از سمت آن به سرور آلوده به RDStealer برقرار می‌شود خود به یک بدافزار سفارشی به نام Logutil آلوده می‌گردد. ضمن آن که زمانی که یک ارتباط RDP برقرار می‌شود RDStealer اقدام به استخراج داده‌های حساس نظیر سوابق مرور وب، نام‌های کاربری و رمزهای عبور، کلیدهای خصوصی و اطلاعات برنامه‌هایی همچون KeePass و Chrome می‌کند.

فعال و مخفی ماندن عوامل RedClouds از حداقل سال 2020 و پیچیدگی بالای کارزار آنها موجب شده که بیت‌دیفندر تحت حمایت یک دولت بودن این افراد را محتمل بداند.

مشروح گزارش بیت‌دیفندر و نشانه‌های آلودگی (IoC) این کارزار در لینک زیر قابل دریافت و مطالعه است:

https://www.bitdefender.com/files/News/CaseStudies/study/431/Bitdefender-Labs-Report-X-creat6958-en-EN.pdf

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *