Эксперты раскрыли длительную вредоносную операцию против IT-компании в Восточной Азии, в ней засветился новый вредонос RDStealer

Согласно недавнему отчёту румынской компании по кибербезопасности Bitdefender, неназванная восточноазиатская IT-компания стала объектом сложной кибератаки. В ходе операции, длившейся более года, было задействовано вредоносное ПО под названием RDStealer, написанное на языке программирования Go. Главная цель атаки заключалась в компрометации учётных данных и краже высокочувствительной информации компании-жертвы.

На начальном этапе операции злоумышленники использовали общедоступные трояны удалённого доступа, такие как AsyncRAT и Cobalt Strike. Позже они перешли на использование собственного вредоносного ПО для повышенного уклонения от обнаружения.

Атакующие активно использовали уязвимости в системе безопасности Microsoft Windows, и хранили вредоносные модули в папках, которые обычно исключаются из сканирования антивирусными программами, например, System32 и Program Files.

Так, одним из рассматриваемых каталогов, использованных хакерами, является путь «C:\Program Files\Dell\CommandUpdate». Легитимное приложение для обновления программного обеспечения Dell использует как раз эту папку.

Кроме того, специалисты Bitdefender выявили, что все компьютеры, зараженные в ходе инцидента, были производства Dell, поэтому выбор папки был целенаправленным и свидетельствует о некоторой подготовке злоумышленников перед атакой. Ведь даже если технически подкованный сотрудник будет намеренно искать вредонос в системе, вряд ли он так просто сумеет его обнаружить с таким расположением полезной нагрузки.

RDStealer специализируется на сборе данных буфера обмена и введённых с клавиатуры данных. Однако его отличительная особенность заключается в возможности отслеживания входящих соединений по RDP (Remote Desktop Protocol) и компрометации удалённой машины, если включено сопоставление клиентских дисков (Client Drive Mapping).

Злоумышленники также инфицировали подключенные клиенты RDP другим специализированным вредоносным ПО на основе Go, известным как Logutil, что позволило им сохранить постоянное присутствие в сети жертвы и облегчить выполнение вредоносных команд.

«Киберпреступники постоянно исследуют новые методы для увеличения надежности и незаметности своих злонамеренных действий. Эта атака служит свидетельством всё большего усложнения киберпреступных операций», — подытожил Марин Цугек, специалист Bitdefender.

Даже IT-компании зачастую бессильны против профессиональных хакеров, поэтому необходимо постоянно повышать уровень кибербезопасности и осведомленности сотрудников о возможных угрозах. Только так можно защитить свои данные и репутацию от нежелательных последствий.