1 年にわたるサイバースパイ活動の暴露: 標的となった IT 企業におけるカスタムマルウェア RDStealer の興味深い暴露

Computer Security年Chanceまで

翻訳内容：

東アジアの IT 企業を標的とした大規模かつ綿密に計画されたサイバー攻撃が発生し、脅威アクターが使用する複雑な戦術が明らかになりました。この 1 年以上にわたる長期作戦は、Golang プログラミング言語を使用して開発された高度なマルウェアの亜種である RDStealer を導入することによって組織されました。 Bitdefender の研究者 Victor Vrabie 氏が技術レポートで発表した詳細な調査結果では、攻撃の主な目的が貴重な認証情報を侵害し、データの引き出しを実行することであったことが明らかになりました。

ルーマニアのサイバーセキュリティ会社が収集した広範な証拠は、キャンペーンが2022年初頭に開始されたことを示しており、具体的な標的は東アジアの非公開IT企業だった。この事実は、今日の相互接続された世界におけるサイバー脅威の高度化と持続性をはっきりと思い出させるものです。

進行状況を明らかにする

作戦の初期段階では、 AsyncRATやCobalt Strikeなどの一般的なリモートアクセストロイの木馬が積極的な役割を果たしました。しかし、2021 年末から 2022 年初めにかけて攻撃が進行するにつれて、カスタム設計のマルウェアが検出を回避するために介入しました。注目すべき戦略には、System32 や Program Files などのセキュリティスキャンから除外された Microsoft Windows フォルダーを利用してバックドアペイロードを保存することが含まれていました。このアプローチは、セキュリティソフトウェアの制限を悪用し、攻撃の有効性を高めることを目的としていました。

攻撃で重要な役割を果たした特定のサブフォルダは「C:\Program Files\Dell\CommandUpdate」で、これは Dell Command | の場所として機能します。正規の Dell アプリケーションである Update。興味深いことに、この事件を通じて侵害されたマシンはすべてデル製であり、攻撃者が悪意のある活動のカモフラージュとしてこのフォルダーを利用するという意図的な選択を示しています。この観察は、攻撃者がターゲット環境にシームレスに溶け込むように戦略的に設計された「dell-a[.]ntp-update[.]com」のようなコマンドアンドコントロール (C2) ドメインを登録したという事実によって裏付けられます。

この侵入キャンペーンでは、RDStealer として知られるサーバー側のバックドアが利用されます。このバックドアは、感染したホスト上のクリップボードとキーストロークからデータを継続的に収集することに特化しています。この動作により、攻撃者は機密情報を密かに収集することができます。

特徴的な機能

この攻撃の特徴は、着信リモートデスクトッププロトコル (RDP) 接続を監視し、クライアントドライブマッピングが有効になっている場合にリモートマシンを悪用する機能です。新しい RDP クライアント接続が検出されると、RDStealer は、mRemoteNG、KeePass、Google Chrome などのアプリケーションから閲覧履歴、資格情報、秘密キーなどの機密情報を抽出するコマンドを発行します。これは、Bitdefender の研究者 Marin Zugec 氏が別の分析で強調したように、攻撃者が積極的に認証情報をターゲットにし、他のシステムへの接続を保存していることを強調しています。さらに、侵害されたマシンに接続している RDP クライアントは、別のカスタム Golang ベースのマルウェアである Logutil を捕捉します。

Logutil は、DLL サイドローディング技術を採用して、被害ネットワーク内で永続性を確立し、コマンドの実行を容易にします。 2020 年に遡る活動を除き、この脅威アクターに関する情報は限られています。Zugec 氏は、悪意のある活動を実行するために新しく確立されたテクノロジーを悪用するサイバー犯罪者の継続的な革新と洗練の進化について述べています。この攻撃は、現代のサイバー脅威がますます複雑化しており、広く採用されているテクノロジーを攻撃者が悪用できることを証明しています。