Hassas oturum açma kimlik bilgilerini çalmak için Uzak Masaüstü Protokolü istemcilerine saldıran yeni özel kötü amaçlı yazılım.
Son zamanlarda, ‘RedClouds’ siber casusluk kampanyası, ‘RDStealer’ kötü amaçlı yazılımını kullanarak RD bağlantıları yoluyla ortak sürücülerden veri çalıyor.
Bitdefender Labs, bu kötü niyetli siber casusluk kampanyasını keşfetti ve bilgisayar korsanlarının 2022’den beri Doğu Asya’daki sistemleri aktif olarak hedef aldığı belirlendi.
Kampanyanın yaratıcıları bilinmiyor, ancak Çin ile benzer ilgi alanlarına sahipler ve devlet destekli APT grupları gibi gelişmiş becerilere sahipler.
Bu kampanyadaki bilgisayar korsanları, birkaç aktif iz ile 2020’den beri aktif. Başlangıçta hazır araçlarla başladılar, ancak daha sonra 2021’de kendi özel kötü amaçlı yazılımlarına geçtiler.
RDP’ye Saldıran Özel Kötü Amaçlı Yazılım
Microsoft’un RDP protokolünün yardımıyla, Windows bilgisayarlara uzak bağlantılar kurabilir ve onları sorunsuz bir şekilde kontrol ederek yüz yüze bir deneyimi simüle edebilirsiniz.
Aşağıda, Uzak Masaüstüne Saldıran bu Kötü Amaçlı Yazılımın ana hedeflerinden bahsetmiştik: –
- Kimlik bilgilerini çalmak
- Verilerin sızması
Tehdit aktörleri bu kampanyada birkaç kötü amaçlı araç kullandılar ve aşağıda, araçlarını gizlemek için kullandıkları tüm konumlardan bahsetmiştik:-
- c:\windows\system32\
- c:\windows\system32\wbem\
- c:\windows\security\veritabanı\
- %PROGRAM_FILES%\f-güvenli\psb\diagnostics
- %PROGRAM_FILES_x86%\dell\commandupdate\
- %PROGRAM_FILES%\dell\md depolama yazılımı\md yapılandırma yardımcı programı\
Saldırganlar, kötü amaçlı yazılımın orijinal görünmesini sağlamak için genellikle meşru yazılımlar için kullanılan aşağıdaki iki konumu seçer:-
- %PROGRAM DOSYALARI%
- %PROGRAM_FILES_x86%
Bunun dışında kötü amaçlı yazılım, Windows’un güvenlik dosyalarını sakladığı aşağıdaki klasörde de keşfedildi: –
- c:\windows\security\veritabanı\
Tehdit aktörleri, büyük olasılıkla tespit edilmekten kaçınmak ve varlıklarını yasalmış gibi gizlemek için bu konumu tercih etti.
Kalıcılığı sürdürmek için Logutil arka kapısı Winmgmt hizmetinden dolaylı olarak yararlandı.
İstismar, aşağıdaki konumdaki kötü amaçlı yükleyicinin varlığının yardımıyla DLL Ele Geçirme kullanılarak mümkün olmuştur:-
- %SYSTEM32%\wbem\ncobjapi.dll
Bu kampanyada “Microsoft WMI Provider Subsystem” DCOM kullanılmıştır ve Winmgmt davranışı nedeniyle ortaya çıkmıştır. Esas olarak aşağıdaki konumda bulunur: –
- c:\windows\system32\wbem\wmiprvsd.dll
Wmiprvsd.dll dosyasının çalışması için ncobjapi.dll dosyasına ihtiyacı vardır ve bu dosya esas olarak şurada bulunur: –
Ancak, DLL arama sırasının çalışma şekli nedeniyle, önce %SYSTEM32%\wbem\ klasörü kontrol edilerek kötü amaçlı yükleyiciyi yüklemesine izin verilir.
Mevcut tehdit aktörleri benzersiz bir DLL yandan yükleme yöntemine sahiptir. Son yük olarak ncobjapi.dll kullanmak yerine, “c:\windows\system32” veya “c:\windows\system32\wbem” konumunda bulunan bithostw.dll gibi diğer DLL dosyalarını kullanırlar.
Saldırıda Kullanılan Paketler
Paylaşılan rapora göre Siber Güvenlik Haberleriaşağıdakiler kullanılan paketlerdir: –
- cli: OpenClipboard ve GetClipboardData gibi Windows API’lerini kullanarak pano içeriğinin yakalanmasını uygular.
- anahtar: Pencere adının yanında tuş vuruşu yakalamayı uygular.
- ana: Orkestratör olarak hareket eder ve kalıcılık kurulumunu gerçekleştirmek ve belirli koşullar karşılanırsa veri toplama rutinini başlatmak için paket modüllerini kullanır.
- modüller: Daha fazla hırsızlık için verileri toplamak ve hazırlamak için kullanılan farklı işlevleri uygular.
- araçlar: Şifreleme ve şifre çözme işlevlerini, dosya özniteliği işlemeyi ve günlük işlevini uygular
RDP Saldırı Yürütme
Logutil, kurbanın ağını birinin kontrol etmesine izin veren Go tabanlı bir arka kapıdır.
Kurbanın ağında bir yer tutmak için dosya indirebilir/yükleyebilir ve komutları yürütebilir.
Logutil’deki main.Log işlevi, base64 olarak kodlanan depolanan yapılandırma dizesinin şifresini çözerek başlar ve burada kodu çözülen sonucun şifresi bir XOR bayt işlemi kullanılarak çözülür.
Tehdit aktörleri, uzak masaüstü sunucularına, Uzak Masaüstü Protokolündeki “cihaz yeniden yönlendirmesi” adı verilen bir özellikten yararlanan özel bir RDStealer kötü amaçlı yazılımı bulaştırır.
Bunu başarmak için, RDP bağlantılarını takip eder ve bunlar RDP sunucusuna bağlanır bağlanmaz otomatik olarak yerel sürücülerden veri çıkarır.
Aşağıda Logutil tarafından desteklenen tüm komutlardan bahsetmiştik: –
Ayrıca Logutil’in araştırmacılar tarafından keşfedilen komut ve kontrol (C2) çerçevesi, ESXi ve Linux’tan bahsetmektedir.
Bu, kötü niyetli aktörlerin birden fazla platformda çalışabilen bir arka kapı geliştirmek için muhtemelen Go programlama dilinin esnekliğinden yararlandığını gösteriyor.
Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin.