Neue RDStealer-Malware stiehlt Laufwerke, die über Remotedesktop freigegeben werden

Eine als „RedClouds“ verfolgte Cyberspionage- und Hacking-Kampagne nutzt die benutzerdefinierte Malware „RDStealer“, um automatisch Daten von Laufwerken zu stehlen, die über Remotedesktopverbindungen freigegeben werden.

Die bösartige Kampagne wurde von Bitdefender Labs entdeckt, deren Forscher seit 2022 beobachtet haben, wie die Hacker Systeme in Ostasien angreifen.

Sie waren zwar nicht in der Lage, die Kampagne bestimmten Bedrohungsakteuren zuzuordnen, erwähnen jedoch, dass die Interessen der Bedrohungsakteure mit China übereinstimmen und die Raffinesse einer staatlich geförderten APT-Ebene aufweisen.

Darüber hinaus sagt Bitdefender, dass die einzelnen Hacker seit mindestens 2020 Spuren hinterlassen haben, wobei sie zunächst Standardtools verwendeten und Ende 2021 auf benutzerdefinierte Malware umstiegen.

Das Remote Desktop Protocol (RDP) ist ein proprietäres Microsoft-Protokoll, das es Benutzern ermöglicht, eine Remoteverbindung zu Windows-Desktops herzustellen und diese so zu verwenden, als ob sie vor dem Computer stünden.

Diese Funktion ist für verschiedene Aufgaben äußerst nützlich, einschließlich Remote-Arbeit, technischer und IT-Support, Systemadministration und Serververwaltung.

Mit dem Internet verbundene RDP-Server gehören zu den am häufigsten angegriffenen Online-Diensten, da sie einem Unternehmensnetzwerk Halt bieten. Sobald sich Bedrohungsakteure Zugriff verschafft haben, können sie diese Position nutzen, um sich im gesamten Unternehmensnetzwerk im Rahmen von Datendiebstahl und Ransomware-Angriffen auszubreiten.

Das Remotedesktopprotokoll umfasst eine Funktion namens „Geräteumleitung“, mit der Sie Ihre lokalen Laufwerke, Drucker, die Windows-Zwischenablage, Ports und andere Geräte mit dem Remotehost verbinden können, auf die dann in Ihren Remotedesktopsitzungen zugegriffen werden kann.

Der Zugriff auf diese freigegebenen Ressourcen erfolgt über eine spezielle Netzwerkfreigabe „\\tsclient“ (Terminalserver-Client), die dann Laufwerksbuchstaben in Ihrer RDP-Verbindung zugeordnet werden kann.

Wenn beispielsweise das lokale Laufwerk C:\ über die Geräteumleitung freigegeben wurde, wäre es in der RDP-Sitzung als Freigabe „\\tsclient\c“ zugänglich, die dann für den Zugriff auf lokal gespeicherte Dateien vom Remote-Windows-Desktop verwendet werden kann .

Die Bedrohungsakteure infizieren Remote-Desktop-Server mit einer benutzerdefinierten RDStealer-Malware, die diese Geräteumleitungsfunktion ausnutzt. Dies geschieht durch die Überwachung von RDP-Verbindungen und den automatischen Diebstahl von Daten von lokalen Laufwerken, sobald diese mit dem RDP-Server verbunden sind.

Die fünf Module, aus denen sich RDStealer zusammensetzt, sind ein Keylogger, ein Persistenz-Etabler, ein Datendiebstahl- und Exfiltrations-Staging-Modul, ein Tool zur Erfassung von Inhalten in der Zwischenablage und eines, das Verschlüsselungs-/Entschlüsselungsfunktionen, Protokollierung und Dateibearbeitungs-Dienstprogramme steuert.

Bei der Aktivierung tritt RDStealer in eine Endlosschleife ein und ruft die Funktion „diskMounted“ auf, die die Verfügbarkeit der Laufwerke C, D, E, F, G oder H auf den \\tsclient-Netzwerkfreigaben prüft. Wenn welche gefunden werden, benachrichtigt es den C2-Server und beginnt mit der Exfiltration von Daten vom verbundenen RDP-Client.

Es ist erwähnenswert, dass zu den Speicherorten und Dateinamenerweiterungen, die die Malware auf C:\-Laufwerken auflistet, die KeePass-Passwortdatenbank, private SSH-Schlüssel, der Bitvise-SSH-Client, MobaXterm, mRemoteNG-Verbindungen usw. gehören, was eindeutig darauf hindeutet, dass die Angreifer es auf Anmeldeinformationen abgesehen haben, die sie können Verwendung für seitliche Bewegung.

Auf allen anderen Laufwerken scannt RDStealer alles, mit einigen Ausnahmen, die wahrscheinlich keine wertvollen Daten enthalten.

Bitdefender hat keine Einblicke in die Art und Weise, wie Remotedesktopserver überhaupt infiziert werden, stellte jedoch fest, dass die Malware in den folgenden Ordnern gespeichert war:

„Als Teil der Umgehungstaktik nutzten Bedrohungsakteure Ordner, bei denen der Verdacht geringer ist, dass sie Malware enthalten, und die oft von der Überprüfung durch Sicherheitslösungen ausgeschlossen werden“, erklärt BitDefender.

Alle vom kompromittierten Gerät gestohlenen Daten werden lokal als verschlüsselte Zeichenfolgen in der Datei „C:\users\public\log.log“ gespeichert, bis sie an die Server der Angreifer übertragen werden.

Der letzte Schritt der Ausführung von RDStealer besteht darin, zwei DLL-Dateien zu aktivieren, die Logutil-Hintertür („bithostw.dll“) und ihren Loader („ncobjapi.dll“).

Die RedClouds-Kampagne nutzt außerdem eine benutzerdefinierte Go-basierte Hintertür namens Logutil, die es den Bedrohungsakteuren ermöglicht, Befehle aus der Ferne auszuführen und Dateien auf einem infizierten Gerät zu manipulieren.

Die Malware nutzt passive und aktive DLL-Sideloading-Fehler, um auf einem angegriffenen System unentdeckt zu laufen, und nutzt die Windows Management Instrumentation (WMI) als Aktivierungsauslöser.

„Dieses Implantat ist äußerst effektiv, um eine Persistenz im System herzustellen“, beschreibt Bitdefender.

„Es kann entweder durch den WMI-Dienst (automatisch mit mehreren Wiederherstellungsaktionen gestartet) oder durch den WMI-Hostprozess ausgelöst werden.“

„Häufig werden mehrere Instanzen des WMI-Hostprozesses (WmiPrvSE.exe) ausgeführt, und es gibt mehrere Möglichkeiten, diesen Prozess zu starten (einschließlich der DCOM-Schnittstelle für Remote-WMI-Aufrufe).“

Logutil kommuniziert direkt mit dem C2 und erhält die auszuführenden Befehle, wie in der folgenden Tabelle erläutert:

Die Forscher betonen, dass Logutils C2 Verweise auf ESXi und Linux enthält, sodass es wahrscheinlich ist, dass die Bedrohungsakteure bereits die Vielseitigkeit von Go nutzen, um eine plattformübergreifende Hintertür zu erstellen.

Bitdefender hat in seinem Bericht eine vollständige Liste der Indikatoren für eine Kompromittierung veröffentlicht. Verteidigern wird daher empfohlen, dies zur Kenntnis zu nehmen und mehrere Ebenen sich überschneidender Sicherheitsmaßnahmen anzuwenden.

Neue Malware infiziert Unternehmensrouter zum Zwecke des Datendiebstahls und der Überwachung

Die Hackergruppe Carderbee greift Unternehmen in Hongkong bei einem Lieferkettenangriff an

CISA: Neue Whirlpool-Hintertür, die bei Barracuda ESG-Hacks verwendet wird

CISA: Neue Submarine-Malware auf gehackten Barracuda ESG-Appliances gefunden

Die Cybercrime-Bande FIN8 greift US-Organisationen mit neuer Sardonic-Malware hinter die Kulissen