「RedClouds」として追跡されているサイバースパイ活動およびハッキング キャンペーンは、カスタムの「RDStealer」マルウェアを使用して、リモート デスクトップ接続を介して共有されているドライブからデータを自動的に盗みます。
この悪意のあるキャンペーンはBitdefender Labsによって発見され、その研究者は 2022 年以来東アジアのシステムを標的とするハッカーを観察してきました。
彼らは、このキャンペーンが特定の脅威アクターによるものであるとは言えませんでしたが、脅威アクターの利益は中国と一致しており、国家支援の APT レベルの精緻性を備えていると述べています。
さらに、Bitdefenderによれば、特定のハッカーは少なくとも2020年以来活動の痕跡を残しており、当初は既製のツールを使用していたが、2021年後半にはカスタムマルウェアに切り替えたという。
リモートデスクトップからの盗用
リモート デスクトップ プロトコル (RDP) は、ユーザーが Windows デスクトップにリモート接続し、コンピュータの前にいるかのように使用できるようにする Microsoft 独自のプロトコルです。
この機能は、リモート作業、技術および IT サポート、システム管理、サーバー管理などのさまざまなタスクに非常に役立ちます。
インターネットに公開された RDP サーバーは、企業ネットワークへの足掛かりとなるため、最も標的とされるオンライン サービスの 1 つです。攻撃者はアクセス権を獲得すると、この足掛かりを利用して企業ネットワーク全体に横方向に拡散し、データ盗難やランサムウェア攻撃を行う可能性があります。
リモート デスクトップ プロトコルには、「 デバイス リダイレクト」と呼ばれる機能が含まれています。これにより、ローカル ドライブ、プリンター、Windows クリップボード、ポート、その他のデバイスをリモート ホストに接続し、リモート デスクトップ セッションでアクセスできるようになります。
これらの共有リソースには、特別な ‘ tsclient ‘ (ターミナル サーバー クライアント) ネットワーク共有を介してアクセスされ、RDP 接続のドライブ文字にマッピングできます。
たとえば、ローカル C: ドライブがデバイス リダイレクト経由で共有されている場合、RDP セッションで「 tsclientc 」共有としてアクセスでき、これを使用して、リモート Windows デスクトップからローカルに保存されたファイルにアクセスできます。 。
攻撃者は、このデバイス リダイレクト機能を利用するカスタム RDStealer マルウェアをリモート デスクトップ サーバーに感染させます。これは、RDP 接続を監視し、RDP サーバーに接続されるとローカル ドライブからデータを自動的に盗むことによって行われます。
RDStealer を構成する 5 つのモジュールは、キーロガー、永続性確立モジュール、データ盗難および抽出ステージング モジュール、クリップボード コンテンツ キャプチャ ツール、および暗号化/復号化機能、ログ記録、およびファイル操作ユーティリティを制御するモジュールです。
アクティブ化すると、RDStealer は「diskMounted」関数を呼び出す無限ループに入り、tsclient ネットワーク共有上の C、D、E、F、G、または H ドライブの可用性を確認します。何かが見つかった場合は、C2 サーバーに通知し、接続されている RDP クライアントからのデータの抽出を開始します。
注目に値するのは、マルウェアが列挙する C: ドライブ上の場所とファイル名拡張子には、KeePass パスワード データベース、SSH 秘密キー、Bitvise SSH クライアント、MobaXterm、mRemoteNG 接続などが含まれており、攻撃者が認証情報を狙っていることを明確に示しています。横方向の移動に使用します。
他のすべてのドライブでは、RDStealer は、貴重なデータをホストする可能性が低いいくつかの例外を除いて、すべてをスキャンします。
Bitdefender は、リモート デスクトップ サーバーがそもそもどのように感染するのかについての洞察を欠いていますが、マルウェアが次のフォルダーに保存されていることがわかりました。
%WinDir%System32 %WinDir%System32wbem %WinDir%securitydatabase %PROGRAM_FILES%f-securepsbdiagnostics %PROGRAM_FILES_x86%dellcommandupdate %PROGRAM_FILES%dellmd storage softwaremd configuration utility
「回避戦術の一環として、攻撃者はマルウェアが含まれている疑いが低く、セキュリティ ソリューションによるスキャンから除外されることが多いフォルダーを使用しました」と BitDefender は説明します。
侵害されたデバイスから盗まれたすべてのデータは、攻撃者のサーバーに送信されるまで、「C:userspubliclog.log」ファイル内の暗号化された文字列としてローカルに保存されます。
RDStealer 実行の最終段階では、Logutil バックドア (「bithostw.dll」) とそのローダー (「ncobjapi.dll」) という 2 つの DLL ファイルをアクティブ化します。
カスタム Logutil マルウェア
RedClouds キャンペーンでは、Logutil という名前の Go ベースのカスタム バックドアも使用されており、これにより、攻撃者はリモートからコマンドを実行し、感染したデバイス上のファイルを操作できます。
このマルウェアは、パッシブおよびアクティブ DLL サイドローディングの欠陥を利用して、侵害されたシステム上で検出されることなく実行され、アクティベーション トリガーとして Windows Management Instrumentation (WMI) を使用します。
「このインプラントは、システム上の永続性を確立するのに非常に効果的です」と Bitdefender は説明します。
「これは、WMI サービス (複数の回復アクションで自動的に開始される) によって、または WMI ホスト プロセスを通じてトリガーされます。」
「多くの場合、WMI ホスト プロセス (WmiPrvSE.exe) の複数のインスタンスが実行されており、このプロセスを開始する方法は複数あります (リモート WMI 呼び出しの DCOM インターフェイスによるものを含む)。」
次の表で説明するように、Logutil は C2 と直接通信し、実行するコマンドを取得します。
研究者らは、Logutil の C2 には ESXi と Linux への参照が含まれていることを強調しているため、攻撃者はすでに Go の多機能性を利用してマルチプラットフォームのバックドアを作成している可能性があります。
Bitdefender は、レポートの中で侵害の痕跡の完全なリストを共有しているため、防御者は注意して、重複するセキュリティ対策を複数層適用することをお勧めします。
Comments