Komplexe Cyberspionage über das Remote-Desktop-Protokoll

Im Home-Office oder unterwegs arbeitende Mitarbeiter bieten Angreifern eine neue Angriffsfläche. Angreifer starten über diesen Weg vermehrt komplexe Attacken auf Opfersysteme, um Command-and-Control-Kommunikationen aufzubauen. Dies zeigt eine aktuelle komplexe Kampagne zur Cyberspionage. Die Bitdefender Labs beobachten erstmals mit RDStealer einen neuen Angriff unter Missbrauch von Fernanbindungen über das Remote-Desktop-Protocol (RDP). Ziel der Hacker ist es, Zugangsdaten zu kompromittieren und Daten oder Zertifikate zu exfiltrieren. Die Urheber der Attacke zur Cyberspionage begannen ihre Aktivitäten in Ostasien wohl schon in 2022. Sie verwenden dabei ein bereits beschriebenes Angriffskonzept, welches die Sicherheitsexperten jetzt zum ersten Mal mit einem Praxisbeispiel belegen können. Einem Urheber lässt sich die Malware nicht zuschreiben. Die Angriffsziele und die Komplexität der Attacke deuten aber auf eine chinesische Advanced-Persistent-Threat (APT) -Gruppe hin.

RDStealer verfügt über neuartige Möglichkeiten, die Downstream-Konnektivität von Remote-Desktop-Protokoll (RDP) -Clienten zu kompromittieren. Angreifer sind in der Lage, RDP-Verbindungen zu überwachen und – sofern die IT das Client-Drive-Mapping (CDM) des RDP-Protokolls aktiviert hat  – remote angebundene Systeme für sich zu nutzen. Das CDM ist einer der in das RDP-Protokoll implementierten virtuellen Kanäle für den Austausch von Daten zwischen dem RDP-Client und dem RDP-Server.

Cyberspionage

Die Hacker nutzen in der Folge unter anderem verschiedene Tools zum Einsammeln von Informationen aus verschiedenen Applikationen für die Remote-Administration wie etwa MobaXterm, mRemoteNG, KeePass sowie Chrome-Passwörter und die Chrome-History. Angreifer versuchten auch, auf Mysql-Daten im internen Arbeitsspeicher von Servern oder auf den Local-Security-Authority-Subsystem-Service (LSASS) zuzugreifen. Ebenso wichtig ist das Sammeln von Informationen über Server, Zugangsdaten oder gespeicherte Verbindungen zu anderen Systemen. Diese sollen beim Aufbau einer Command-and-Control-Infrastruktur helfen.

Camouflage

Im negativen Sinne beachtenswert ist, wie die Angreifer ihr Vorgehen durch komplexe DLL-Sideload-Techniken zu tarnen versuchen:

  • Der in Go geschriebene und damit plattformübergreifend wirksame RDStealer nutzt auf dem Zielserver den legitimen Windows-Management-Instrumentation (WMI) -Dienst zum Dateiaustausch zwischen Remote-Server und Administrator-Workstation für die Zwecke der Hacker aus.
  • Ein kompromittierter RDP-Host als Zentrale der Command-and-Control-Kommunikation infiziert einen zugehörigen Client mit der Logutil-Backoor unter dem Gewand der legitimen ncobjapi.dll-Library.
  • Die Angreifer speichern die Tools zum Missbrauch einer Remote-Verbindung für die Command-and-Control-Kommunikation und die Datenexfiltration in den Speicherorten, in der Verteidiger Malware am wenigsten vermuten. Dahinter steht das berechtigte Kalkül, dass IT-Sicherheitsverantwortliche diese deshalb mit höherer Wahrscheinlichkeit von einem Malware-Scan der IT-Abwehr ausnehmen. Zu diesen Orten gehören etwa:
    • %WinDir%\System32\
    • %WinDir%\System32\wbem\
    • %WinDir%\security\database\
    • %PROGRAM_FILES%\f-secure\psb\diagnostics
    • %PROGRAM_FILES_x86%\dell\commandupdate\
    • %PROGRAM_FILES%\dell\md storage software\md configuration utility\
    • Die Malware verweilt zudem lange getarnt im System, um kontinuierlich nach Informationen zu suchen und diese zu exfiltrieren.

 

Info: Ein zusammenfassender Bericht finden sich unter: http://businessinsights.bitdefender.com/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads.

Weitere technische Details in der vollständigen Analyse: Exposing RDStealer – Deep Dive into a Targeted Cyber-Attack Against East-Asia Infrastructure.

#Bitdefender