Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
RDStealer zum Stehlen von Daten von Remote-Desktop-Servern verwendet
Obanla Opeyemi
Juli 6, 2023 - TuxCare-Expertenteam
Eine Cyberspionage-Kampagne namens RedClouds verwendet Malware namens RDStealer, um Daten von Laufwerken zu stehlen, die über Remote-Desktop-Verbindungen freigegeben wurden. Die Kampagne hat es seit 2022 auf Systeme in Ostasien abgesehen und wird vermutlich von China staatlich gesponsert.
RDStealer ist eine modulare Malware, die aus einem Keylogger, einem Persistence Establisher, einem Staging-Modul für Datendiebstahl und -exfiltration, einem Tool zur Erfassung von Zwischenablageinhalten und einem Tool zur Steuerung von Ver- und Entschlüsselungsfunktionen, Protokollierung und Dateimanipulation besteht.
Wenn die Malware erkennt, dass ein Remote-Computer eine Verbindung zum Server hergestellt hat und dass Client Drive Mapping (CDM) aktiviert ist, scannt sie den Inhalt des Computers und sucht nach Dateien. Neben dem CDM-Angriffsvektor kann die Malware auch über infizierte Webwerbung, bösartige E-Mail-Anhänge und Social-Engineering-Taktiken verbreitet werden. Da die Bande, die hinter RDStealer steckt, sehr geschickt zu sein scheint, ist es wahrscheinlich, dass in Zukunft neue Angriffsvektoren - oder bessere Versionen von RDStealer - auftauchen werden.
Wenn er aktiviert ist, prüft RDStealer die Verfügbarkeit von Laufwerken C-H auf den Netzwerkfreigaben des Clients. Wird eines gefunden, benachrichtigt er den C2-Server und beginnt mit der Exfiltration von Daten vom verbundenen RDP-Client. Die Malware zielt speziell auf Anmeldeinformationen ab, die für laterale Bewegungen verwendet werden können, z. B. KeePass-Passwortdatenbank, private SSH-Schlüssel, Bitvise SSH-Client, MobaXterm und mRemoteNG-Verbindungen.
Die Malware nutzt passive und aktive DLL-Sideloading-Fehler, um auf einem angegriffenen System zu laufen, ohne entdeckt zu werden, und verwendet die Windows Management Instrumentation (WMI) als Aktivierungsauslöser.
RDStealer wird dann in den Ordnern %WinDir%\System32, %WinDir%\System32\wbem, %WinDir%\security\database, %PROGRAM_FILES%\f-secure\psb\diagnostics, %PROGRAM_FILES_x86%\dell\commandupdate, und %PROGRAM_FILES%\dell\md storage software\md configuration utility gespeichert.
In der letzten Phase der Ausführung von RDStealer werden zwei DLL-Dateien aktiviert: die Logutil-Hintertür ("bithostw.dll") und ihr Lader ("ncobjapi.dll").
Die Logutil-Backdoor ist eine benutzerdefinierte Go-basierte Backdoor, die es den Bedrohungsakteuren ermöglicht, aus der Ferne Befehle auszuführen und Dateien auf einem infizierten Gerät zu manipulieren. Die Logutil-Backdoor kommuniziert direkt mit dem C2 und erhält die auszuführenden Befehle.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
