ClickCease RDStealer utilizado para robar datos de servidores de escritorio remotos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

RDStealer utilizado para robar datos de servidores de escritorio remotos

6 de julio de 2023 - Equipo de RRPP de TuxCare

Una campaña de ciberespionaje llamada RedClouds está utilizando un malware llamado RDStealer para robar datos de unidades compartidas a través de conexiones de Escritorio Remoto. La campaña se dirige a sistemas de Asia Oriental desde 2022 y se cree que está patrocinada por China.

RDStealer es un malware modular que consta de un keylogger, un establecedor de persistencia, un módulo de escenificación de robo y exfiltración de datos, una herramienta de captura de contenido del portapapeles y otra que controla las funciones de cifrado/descifrado, registro y utilidades de manipulación de archivos.

Si el malware detecta que una máquina remota se ha conectado al servidor y que Client Drive Mapping (CDM) está activado, analiza lo que hay en la máquina y busca archivos. También puede propagarse mediante publicidad web infectada, adjuntos maliciosos de correo electrónico y tácticas de ingeniería social, además del vector de ataque CDM. Dado que la banda que está detrás de RDStealer parece ser muy hábil, es probable que aparezcan nuevos vectores de ataque -o versiones superiores de RDStealer- en el futuro.

Cuando se activa, RDStealer comprueba la disponibilidad de las unidades C-H en los recursos compartidos de red del cliente RDP. Si encuentra alguna, lo notifica al servidor C2 y comienza a filtrar datos del cliente RDP conectado. El malware se dirige específicamente a las credenciales que pueden utilizarse para el movimiento lateral, como la base de datos de contraseñas KeePass, las claves privadas SSH, el cliente Bitvise SSH, MobaXterm y las conexiones mRemoteNG.

El malware utiliza defectos pasivos y activos de carga lateral de DLL para ejecutarse en un sistema infectado sin ser detectado, y utiliza Windows Management Instrumentation (WMI) como activador.

RDStealer se almacena en las carpetas %WinDir%\System32, %WinDir%\System32\wbem, %WinDir%\security\database, %PROGRAM_FILES%\f-secure\psb\diagnostics, %PROGRAM_FILES_x86%\dell\commandupdate, ans %PROGRAM_FILES%\dell\md storage software\md configuration utility.

La etapa final de la ejecución de RDStealer es activar dos archivos DLL: el backdoor Logutil ("bithostw.dll") y su cargador ("ncobjapi.dll").

El backdoor Logutil es un backdoor personalizado basado en Go que permite a los actores de la amenaza ejecutar remotamente comandos y manipular archivos en un dispositivo infectado. El backdoor Logutil se comunica directamente con el C2 y obtiene los comandos a ejecutar.

Las fuentes de este artículo incluyen un artículo en BleepingComputer.

Resumen
RDStealer utilizado para robar datos de servidores de escritorio remotos
Nombre del artículo
RDStealer utilizado para robar datos de servidores de escritorio remotos
Descripción
RedClouds está utilizando un malware llamado RDStealer para robar datos de unidades compartidas a través de conexiones de Escritorio Remoto.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín