Presentación de un ciberespionaje de un año de duración: intrigante revelación del malware personalizado RDStealer en una empresa de TI específica

Por Chance en Computer Security

Traducir a:

Ha surgido un ataque cibernético extenso y meticulosamente planificado contra una empresa de TI de Asia oriental, que arroja luz sobre las complejas tácticas empleadas por los actores de amenazas. Esta operación a largo plazo, que duró más de un año, se orquestó mediante la implementación de una variante de malware sofisticada, RDStealer, desarrollada con el lenguaje de programación Golang. Los hallazgos detallados presentados en un informe técnico del investigador de Bitdefender, Victor Vrabie, revelan que el objetivo principal del ataque era comprometer credenciales valiosas y ejecutar la filtración de datos.

La amplia evidencia recopilada por la firma rumana de ciberseguridad apunta al inicio de la campaña a principios de 2022, con el objetivo específico de ser una empresa de TI no revelada en el este de Asia. Esta revelación es un claro recordatorio de la evolución de la sofisticación y la persistencia de las amenazas cibernéticas en el mundo interconectado de hoy.

Tabla de contenido

Revelando la progresión

Durante las etapas iniciales de la operación, los troyanos de acceso remoto comunes como AsyncRAT y Cobalt Strike jugaron un papel activo. Sin embargo, el malware diseñado a medida intervino para evadir la detección a medida que avanzaba el ataque a fines de 2021 o principios de 2022. Una estrategia notable implicó utilizar carpetas de Microsoft Windows exentas de análisis de seguridad, como System32 y Archivos de programa, para almacenar las cargas útiles de la puerta trasera. Este enfoque pretendía explotar las limitaciones del software de seguridad y mejorar la eficacia del ataque.

Una subcarpeta específica que desempeñó un papel importante en el ataque es "C:\Program Files\Dell\CommandUpdate", que sirve como ubicación para Dell Command | Actualizar, una aplicación legítima de Dell. Curiosamente, todas las máquinas comprometidas durante el incidente fueron fabricadas por Dell, lo que indica una elección deliberada por parte de los actores de amenazas de utilizar esta carpeta como camuflaje para sus actividades maliciosas. Esta observación se ve reforzada por el hecho de que los atacantes registraron dominios de comando y control (C2) como "dell-a[.]ntp-update[.]com", estratégicamente diseñados para integrarse perfectamente en el entorno de destino.

La campaña de intrusión utiliza una puerta trasera del lado del servidor conocida como RDStealer, que se especializa en recopilar continuamente datos del portapapeles y pulsaciones de teclas en el host infectado. Este comportamiento permite a los actores de amenazas recopilar información confidencial de forma subrepticia.

La característica distintiva

Lo que distingue a este ataque es su capacidad para monitorear las conexiones entrantes del Protocolo de escritorio remoto (RDP) y explotar una máquina remota si la asignación de unidades del cliente está habilitada. Una vez que se detecta una nueva conexión de cliente RDP, RDStealer emite un comando para extraer información confidencial, incluido el historial de navegación, las credenciales y las claves privadas, de aplicaciones como mRemoteNG, KeePass y Google Chrome. Eso enfatiza que los actores de amenazas apuntan activamente a las credenciales y guardan las conexiones a otros sistemas, como destacó Marin Zugec, investigador de Bitdefender, en un análisis separado. Además, los clientes RDP que se conectan a las máquinas comprometidas detectan Logutil, otro malware personalizado basado en Golang.

Logutil emplea técnicas de carga lateral de DLL para establecer la persistencia dentro de la red de la víctima y facilitar la ejecución de comandos. Hay información limitada disponible sobre el actor de amenazas, excepto por su actividad que se remonta a 2020. Zugec comenta sobre la innovación continua y la sofisticación en evolución de los ciberdelincuentes, que explotan tecnologías nuevas y establecidas para llevar a cabo sus actividades maliciosas. Este ataque sirve como testimonio de la creciente complejidad de las amenazas cibernéticas modernas y la capacidad de los actores de amenazas para explotar tecnologías ampliamente adoptadas.