Una campaña de ciberespionaje y piratería rastreada como 'RedClouds' utiliza el malware personalizado 'RDStealer' para robar automáticamente datos de unidades compartidas a través de conexiones de escritorio remoto.
La campaña maliciosa fue descubierta por Bitdefender Labs , cuyos investigadores han visto a los piratas informáticos atacar sistemas en el este de Asia desde 2022.
Si bien no han podido atribuir la campaña a actores de amenazas específicos, mencionan que los intereses de los actores de amenazas se alinean con China y tienen la sofisticación de un nivel APT patrocinado por el estado.
Además, Bitdefender dice que los piratas informáticos en particular han dejado rastros de actividad desde al menos 2020, inicialmente utilizando herramientas listas para usar y cambiando a malware personalizado a fines de 2021.
Robar desde escritorio remoto
El Protocolo de escritorio remoto (RDP) es un protocolo propietario de Microsoft que permite a los usuarios conectarse de forma remota a los escritorios de Windows y usarlos como si estuvieran frente a la computadora.
Esta característica es extremadamente útil para diversas tareas, incluido el trabajo remoto, el soporte técnico y de TI, la administración del sistema y la gestión del servidor.
Los servidores RDP expuestos a Internet son algunos de los servicios en línea más específicos, ya que proporcionan un punto de apoyo para una red corporativa. Una vez que obtienen acceso, los actores de amenazas pueden usar este punto de apoyo para propagarse lateralmente a través de la red corporativa en ataques de robo de datos y ransomware.
El Protocolo de escritorio remoto incluye una característica llamada ' redireccionamiento de dispositivos ', que le permite conectar sus unidades locales, impresoras, el portapapeles de Windows, puertos y otros dispositivos con el host remoto, a los que luego se puede acceder en sus sesiones de escritorio remoto.
Se accede a estos recursos compartidos a través de un recurso compartido de red especial ' \\tsclient ' (cliente del servidor terminal) que luego se puede asignar a letras de unidad en su conexión RDP.
Por ejemplo, si la unidad C:\ local se compartió a través de la redirección de dispositivos, sería accesible como el recurso compartido ' \\tsclient\c ' en la sesión RDP, que luego se puede usar para acceder a los archivos almacenados localmente desde el escritorio remoto de Windows. .
Diagrama RDP (Bitdefender)
Los actores de amenazas infectan servidores de escritorio remotos con un malware RDStealer personalizado que aprovecha esta función de redirección de dispositivos. Lo hace al monitorear las conexiones RDP y robar datos automáticamente de las unidades locales una vez que están conectadas al servidor RDP.
Los cinco módulos que componen RDStealer son un registrador de teclas, un establecidor de persistencia, un módulo de prueba de exfiltración y robo de datos, una herramienta de captura de contenido del portapapeles y una función de control de cifrado/descifrado, registro y utilidades de manipulación de archivos.
Tras la activación, RDStealer entra en un bucle infinito de llamadas a la función "diskMounted", que comprueba la disponibilidad de las unidades C, D, E, F, G o H en los recursos compartidos de red \\tsclient. Si encuentra alguno, notifica al servidor C2 y comienza a extraer datos del cliente RDP conectado.
Vale la pena señalar que las ubicaciones y las extensiones de nombre de archivo que el malware enumera en las unidades C:\ incluyen la base de datos de contraseñas de KeePass, las claves privadas SSH, el cliente Bitvise SSH, MobaXterm, las conexiones mRemoteNG, etc., lo que indica claramente que los atacantes buscan las credenciales que pueden usar para el movimiento lateral.
En todas las demás unidades, RDStealer escaneará todo, con algunas excepciones que es poco probable que alojen datos valiosos.
Pasos del ataque RDStealer (Bitdefender)
Bitdefender carece de información sobre cómo se infectan los servidores de escritorio remoto en primer lugar, pero descubrió que el malware estaba almacenado en las siguientes carpetas:
%WinDir%\System32\
%WinDir%\System32\wbem\
%WinDir%\security\database\
%PROGRAM_FILES%\f-secure\psb\diagnostics
%PROGRAM_FILES_x86%\dell\commandupdate\
%PROGRAM_FILES%\dell\md storage software\md configuration utility\"Como parte de la táctica de evasión, los actores de amenazas utilizaron carpetas de las que se sospecha menos que contienen malware y, a menudo, las soluciones de seguridad las excluyen del análisis", explica BitDefender.
Todos los datos robados del dispositivo comprometido se almacenan localmente como cadenas cifradas en el archivo "C:\users\public\log.log" hasta que se transmiten a los servidores de los atacantes.
La etapa final de la ejecución de RDStealer es activar dos archivos DLL, el backdoor Logutil ("bithostw.dll") y su cargador ("ncobjapi.dll").
El malware Logutil personalizado
La campaña RedClouds también utiliza una puerta trasera personalizada basada en Go llamada Logutil que permite a los actores de amenazas ejecutar comandos de forma remota y manipular archivos en un dispositivo infectado.
El malware usa fallas de carga lateral de DLL pasivas y activas para ejecutarse en un sistema violado sin ser detectado y usa el Instrumental de administración de Windows (WMI) como desencadenante de activación.
"Este implante es muy eficaz para establecer la persistencia en el sistema", describe Bitdefender.
"Puede activarse mediante el servicio WMI (iniciado automáticamente con múltiples acciones de recuperación) o mediante el proceso de host WMI".
"A menudo hay varias instancias del proceso de host WMI (WmiPrvSE.exe) en ejecución, y hay varias formas en que se inicia este proceso (incluida la interfaz DCOM para llamadas WMI remotas)".
Diagrama de carga de Logutil (Bitdefender)
Logutil se comunica directamente con el C2 y obtiene los comandos a ejecutar, como se explica en la siguiente tabla:
Comandos compatibles con Logutil (Bitdefender)
Los investigadores subrayan que el C2 de Logutil contiene referencias a ESXi y Linux, por lo que es probable que los actores de amenazas ya utilicen la versatilidad de Go para crear una puerta trasera multiplataforma.
Bitdefender ha compartido una lista completa de los indicadores de compromiso en su informe, por lo que se recomienda a los defensores que tomen nota y apliquen varias capas de medidas de seguridad superpuestas.
