RDStealer utilisé pour voler des données sur des serveurs de bureau à distance
Une campagne de cyberespionnage baptisée RedClouds utilise un logiciel malveillant appelé RDStealer pour voler des données sur des disques partagés par l'intermédiaire de connexions de bureau à distance. Cette campagne, qui cible les systèmes d'Asie de l'Est depuis 2022, serait parrainée par la Chine.
RDStealer est un logiciel malveillant modulaire qui se compose d'un enregistreur de frappe, d'un éditeur de persistance, d'un module de vol de données et d'exfiltration, d'un outil de capture du contenu du presse-papiers et d'un module contrôlant les fonctions de cryptage/décryptage, la journalisation et les utilitaires de manipulation de fichiers.
Si le logiciel malveillant détecte qu'une machine distante s'est connectée au serveur et que le Client Drive Mapping (CDM) est activé, il analyse le contenu de la machine et recherche des fichiers. Outre le vecteur d'attaque CDM, il peut également se propager par le biais de publicités web infectées, de pièces jointes malveillantes et de tactiques d'ingénierie sociale. Le gang à l'origine de RDStealer semblant très habile, de nouveaux vecteurs d'attaque - ou des versions supérieures de RDStealer - sont susceptibles d'émerger à l'avenir.
Lorsqu'il est activé, RDStealer vérifie la disponibilité des lecteurs C-H sur les partages du réseau \tsclient. S'il en trouve, il en informe le serveur C2 et commence à exfiltrer les données du client RDP connecté. Le logiciel malveillant cible spécifiquement les informations d'identification qui peuvent être utilisées pour un mouvement latéral, telles que la base de données de mots de passe KeePass, les clés privées SSH, le client SSH Bitvise, MobaXterm et les connexions mRemoteNG.
Le logiciel malveillant utilise des failles passives et actives de chargement latéral de DLL pour s'exécuter sur un système infecté sans être détecté, et utilise l'instrumentation de gestion Windows (WMI) comme déclencheur d'activation.
RDStealer est ensuite stocké dans les dossiers %WinDir%\System32, %WinDir%\System32\wbem, %WinDir%\security\database, %PROGRAM_FILES%\f-secure\psb\diagnostics, %PROGRAM_FILES_x86\dell\commandupdate, et %PROGRAM_FILES%\dell\md storage software\md configuration utility.
La dernière étape de l'exécution de RDStealer consiste à activer deux fichiers DLL : la porte dérobée Logutil ("bithostw.dll") et son chargeur ("ncobjapi.dll").
La porte dérobée Logutil est une porte dérobée personnalisée basée sur Go qui permet aux acteurs de la menace d'exécuter à distance des commandes et de manipuler des fichiers sur un appareil infecté. La porte dérobée Logutil communique directement avec le C2 et obtient les commandes à exécuter.
Les sources de cet article comprennent un article de BleepingComputer.