Doğu Asyalı bir BT şirketine yönelik yüksek düzeyde hedefli bir siber saldırı, Golang dilinde yazılmış özel bir kötü amaçlı yazılımın konuşlandırılmasını içeriyordu. RDStealer.
Bitdefender güvenlik araştırmacısı Victor Vrabie, The Hacker News ile paylaşılan teknik bir raporda, “Operasyon, kimlik bilgilerini ve veri hırsızlığını tehlikeye atmak amacıyla bir yıldan uzun süredir aktifti.” Dedi.
Rumen siber güvenlik firması tarafından toplanan kanıtlar, kampanyanın 2022’nin başlarında başladığını gösteriyor. Hedef, Doğu Asya’da yerleşik, belirsiz bir BT şirketiydi.
İlk aşamalarda operasyon, algılamayı engellemek amacıyla 2021’in sonlarında veya 2022’nin başlarında ısmarlama kötü amaçlı yazılıma geçmeden önce AsyncRAT ve Cobalt Strike gibi hazır uzaktan erişim truva atlarına dayanıyordu.
Birincil bir kaçınma taktiği, arka kapı yüklerini depolamak için güvenlik yazılımı (örn. System32 ve Program Dosyaları) tarafından taranmaması muhtemel olan Microsoft Windows klasörlerinin kullanılmasıyla ilgilidir.
Söz konusu alt klasörlerden biri, Dell Command | Güncelleme.
Bitdefender, olay sırasında virüs bulaşan tüm makinelerin Dell tarafından üretildiğini söyleyerek, tehdit aktörlerinin kötü amaçlı etkinliği kamufle etmek için bu klasörü kasten seçtiklerini öne sürdü.
Bu akıl yürütme biçimi, tehdit aktörünün “dell-a[.]ntp güncellemesi[.]com” ile hedef ortamla uyum sağlamak amacıyla kurulmuştur.
İzinsiz giriş seti, ana bilgisayardan sürekli olarak pano içeriği ve tuş vuruşu verilerini toplama konusunda uzmanlaşmış, RDStealer adlı sunucu tarafı bir arka kapının kullanılmasıyla karakterize edilir.
Ancak onu öne çıkaran şey, “gelen RDP’yi izleme” yeteneğidir. [Remote Desktop Protocol] İstemci sürücü eşlemesi etkinleştirildiyse, bağlantılar ve uzak bir makineyi tehlikeye atın.”
Bu nedenle, yeni bir RDP istemci bağlantısı algılandığında, RDStealer tarafından mRemoteNG, KeePass ve Google Chrome gibi uygulamalardan tarama geçmişi, kimlik bilgileri ve özel anahtarlar gibi hassas verileri sızdırmak için komutlar verilir.
Bitdefender’dan Marin Zugec ikinci bir analizde, “Bu, tehdit aktörlerinin aktif olarak kimlik bilgilerini ve diğer sistemlere kaydedilmiş bağlantıları aradığı gerçeğini vurguluyor.” Dedi.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlama
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Dahası, bağlanan RDP istemcilerine, DLL yan yükleme tekniklerini kullanarak kurban ağında kalıcı bir dayanak sağlamak ve komut yürütmeyi kolaylaştırmak için Logutil olarak bilinen başka bir Golang tabanlı özel kötü amaçlı yazılım bulaşmıştır.
Tehdit aktörü hakkında en az 2020 yılına kadar aktif olduğu gerçeği dışında pek bir şey bilinmiyor.
Zugec, “Siber suçlular, kötü niyetli faaliyetlerinin güvenilirliğini ve gizliliğini artırmak için sürekli olarak yeni yöntemler geliştiriyor ve keşfediyor” dedi.
“Bu saldırı, modern siber saldırıların artan karmaşıklığının bir kanıtı olarak hizmet ediyor, ancak aynı zamanda tehdit aktörlerinin daha eski, yaygın olarak benimsenen teknolojilerden yararlanmak için yeni keşfedilen karmaşıklıklarından yararlanabileceklerinin altını çiziyor.”