Uma campanha de ciberespionagem e hacking chamada 'RedClouds' usa o malware personalizado 'RDStealer' para roubar automaticamente dados de discos compartilhados por meio de conexões de Remote Desktop.
A campanha maliciosa foi descoberta pelos pesquisadores da Bitdefender Labs, que observaram os hackers visando sistemas no leste asiático desde 2022.
Embora não tenham conseguido atribuir a campanha a atores específicos, eles mencionaram que os interesses dos atores ameaçadores se alinham com a China e têm a sofisticação de um APT patrocinado pelo estado.
Além disso, a Bitdefender diz que esses hackers deixaram rastros de atividade desde pelo menos 2020, inicialmente usando ferramentas disponíveis no mercado e mudando para malware personalizado no final de 2021.
O Protocolo de Desktop Remoto (RDP) é um protocolo proprietário da Microsoft que permite aos usuários se conectarem remotamente a desktops do Windows e usá-los como se estivessem na frente do computador.
Essa funcionalidade é extremamente útil para várias tarefas, incluindo trabalho remoto, suporte técnico e de TI, administração de sistemas e gerenciamento de servidores.
Servidores RDP expostos à internet são alguns dos serviços on-line mais visados, pois fornecem uma base para a rede corporativa.
Depois de ganhar acesso, os atores ameaçadores podem usar essa base para se espalhar lateralmente por toda a rede corporativa em ataques de roubo de dados e ransomware.
O Protocolo de Desktop Remoto inclui um recurso chamado 'redirecionamento de dispositivo', que permite conectar suas unidades locais, impressoras, a área de transferência do Windows, portas e outros dispositivos com o host remoto, que são então acessíveis em suas sessões de desktop remoto.
Esses recursos compartilhados são acessados por meio de uma rede especial '\\ tsclient' (cliente do servidor de terminal) que pode ser mapeada para letras de unidade em sua conexão RDP.
Por exemplo, se a unidade local C:\ for compartilhada por redirecionamento de dispositivo, ela será acessível como o compartilhamento '\\ tsclient\c' na sessão RDP, que pode ser usada para acessar arquivos armazenados localmente do desktop remoto do Windows.
Os atores ameaçadores infectam servidores de desktop remoto com um malware personalizado RDStealer que aproveita esse recurso de redirecionamento de dispositivo.
Eles fazem isso monitorando as conexões RDP e roubando automaticamente dados de unidades locais assim que elas são conectadas ao servidor RDP.
Os cinco módulos que compõem o RDStealer são um keylogger, um estabelecedor de persistência, um módulo de roubo e exfiltração de dados, uma ferramenta de captura de conteúdo da área de transferência e um controle de funções de criptografia / descriptografia, registro e utilitários de manipulação de arquivos.
Ao ser ativado, o RDStealer entra em um loop infinito de chamada da função "diskMounted", que verifica a disponibilidade das unidades C, D, E, F, G ou H nos compartilhamentos de rede \\ tsclient.
Se encontrar alguma, ele notifica o servidor C2 e começa a exfiltrar dados do cliente RDP conectado.
Vale ressaltar que os locais e extensões de arquivo que o malware enumera nas unidades C:\ incluem o banco de dados de senhas KeePass, chaves privadas SSH, cliente Bitvise SSH, conexões MobaXterm, etc., indicando claramente que os atacantes estão atrás de credenciais que podem usar para movimento lateral.
Em todas as outras unidades, o RDStealer irá examinar tudo, com algumas exceções que são improváveis de hospedar dados valiosos.
A Bitdefender não tem insights sobre como os servidores de desktop remoto são infectados em primeiro lugar, mas descobriu que o malware foi armazenado nas seguintes pastas: "Como tática de evasão, os atores ameaçadores usaram pastas que são menos suspeitas de conter malware e são frequentemente excluídas da varredura por soluções de segurança", explica a Bitdefender.
Todos os dados roubados do dispositivo comprometido são armazenados localmente como strings criptografadas no arquivo "C:\users\public\log.log" até serem transmitidos para os servidores dos atacantes.
A última etapa da execução do RDStealer é ativar dois arquivos DLL, o backdoor Logutil ("bithostw.dll") e seu carregador ("ncobjapi.dll").
A campanha RedClouds também usa um backdoor personalizado baseado em Go chamado Logutil que permite aos atores ameaçadores executar comandos remotamente e manipular arquivos em um dispositivo infectado.
O malware usa falhas de carregamento passivo e ativo de DLL para executar em um sistema invadido sem ser detectado e usa o Instrumento de Gerenciamento do Windows (WMI) como um gatilho de ativação.
"Este implante é altamente eficaz para estabelecer persistência no sistema", descreve a Bitdefender.
"Pode ser acionado tanto pelo serviço WMI (iniciado automaticamente com várias ações de recuperação), quanto pelo processo host do WMI."
"Existem muitas instâncias do processo host do WMI (WmiPrvSE.exe) em execução, e existem várias maneiras pelas quais esse processo é iniciado (incluindo pela interface DCOM para chamadas WMI remotas)."
O Logutil se comunica diretamente com o C2 e obtém os comandos a serem executados, como explicado na tabela abaixo:
Os pesquisadores destacam que o C2 do Logutil contém referências a ESXi e Linux, então é provável que os atores ameaçadores já usem a versatilidade do Go para criar um backdoor multiplataforma.
A Bitdefender compartilhou uma lista completa dos indicadores de comprometimento em seu relatório, então os defensores são recomendados a tomar nota e aplicar várias camadas de medidas de segurança sobrepostas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...