RDStealer 用於從遠端桌面伺服器竊取數據

一個名為RedClouds的網路間諜活動正在使用名為RDStealer的惡意軟體從通過遠端桌面連接共用的驅動器中竊取數據。自2022年以來，該活動一直針對東亞的系統，據信是由中國國家贊助的。

RDStealer 是一種模組化惡意軟體，由鍵盤記錄器、持久性建立器、數據盜竊和洩露暫存模組、剪貼板內容捕獲工具以及控制加密/解密功能、日誌記錄和檔操作實用程式組成的。

如果惡意軟體檢測到遠端電腦已連接到伺服器並且啟用了用戶端驅動器映射 （CDM），則會掃描電腦上的內容並搜索檔。除了CDM攻擊媒介之外，它還可以通過受感染的Web廣告、惡意電子郵件附件和社會工程策略進行傳播。由於RDStealer背後的團夥似乎非常熟練，因此將來可能會出現新的攻擊媒介或RDStealer的高級版本。

啟動后，RDStealer 將檢查 \tsclient 網络共享上驅動器 C-H 的可用性。如果找到任何數據，它將通知 C2 伺服器並開始從連接的 RDP 用戶端洩露數據。該惡意軟體專門針對可用於橫向移動的憑據，例如KeePass密碼資料庫，SSH私鑰，Bitvise SSH用戶端，MobaXterm和mRemoteNG連接。

該惡意軟體使用被動和主動 DLL 旁載入缺陷在被破壞的系統上運行而不會被檢測到，並使用 Windows 管理規範 （WMI） 作為啟動觸發器。

RDStealer 然後存儲在資料夾 %WinDir%\System32， %WinDir%\System32\wbem， %WinDir%\security\database， %PROGRAM_FILES%\f-secure\psb\diagnostics， %PROGRAM_FILES_x86%\dell\commandupdate， ans %PROGRAM_FILES%\dell\md Storage Software\md Configuration utility.

RDStealer執行的最後階段是啟動兩個DLL檔：Logutil後門（“bithostw.dll”）及其載入器（“ncobjapi.dll”）。

Logutil 後門是一個基於 Go 的自定義後門，允許威脅參與者遠端執行命令並在受感染的設備上操作檔。Logutil 後門直接與 C2 通信並獲取要執行的命令。

這篇文章的來源包括 BleepingComputer上的一篇文章。

總結

文章名稱

RDStealer 用於從遠端桌面伺服器竊取數據

描述

RedClouds正在使用名為RDStealer的惡意軟體從通過遠端桌面連接共用的驅動器中竊取數據。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標