Komplexe Cyberspionage über Remote Desktop Protokoll

Dies zeigt eine aktuelle Cyberspionage-Kampagne. Die Bitdefender Labs beobachten erstmals mit RDStealer einen neuen Angriff unter Missbrauch von Fernanbindungen über das Remote Desktop Protocol (RDP). Ziel der Hacker ist es,  Zugangsdaten zu kompromittieren und Daten oder Zertifikate zu exfiltrieren. Die Urheber der Attacke zur Cyberspionage begannen ihre Aktivitäten in Ostasien wohl schon in 2022. Sie verwenden dabei ein bereits beschriebenes Angriffskonzept, welches die Sicherheitsexperten jetzt zum ersten Mal mit einem Praxisbeispiel belegen können. Einem Urheber lässt sich die Malware nicht zuschreiben. Die Angriffsziele und die Komplexität der Attacke deuten aber auf eine chinesische Advanced-Persistent-Threat (APT)-Gruppe hin.

Angreifer überwachen RDP-Verbindungen

RDStealer verfügt über neuartige Möglichkeiten, die Downstream-Konnektivität von Remote-Desktop-Protokoll (RDP)-Clienten zu kompromittieren. Angreifer sind in der Lage, RDP-Verbindungen zu überwachen und – sofern die IT das Client Drive Mapping (CDM) des RDP-Protokolls aktiviert hat  – remote angebundene Systeme für sich zu nutzen. Das CDM ist einer der in das RDP-Protokoll implementierten virtuellen Kanäle für den Austausch von Daten zwischen dem RDP Client und dem RDP Server.

Die Hacker nutzen in der Folge unter anderem verschiedene Tools zum Einsammeln von Informationen aus verschiedenen Applikationen für die Remote-Administration wie etwa MobaXterm, mRemoteNG, KeePass sowie Chrome-Passwörter und die Chrome-History. Angreifer versuchten auch, auf mysql-Daten im internen Arbeitsspeicher von Servern oder auf den Local Security Authority Subsystem Service (LSASS) zuzugreifen. Ebenso wichtig ist das Sammeln von Informationen über Server, Zugangsdaten oder gespeicherte Verbindungen zu anderen Systemen. Diese sollen beim Aufbau einer Command-and-Control-Infrastruktur helfen.

Tarnung über komplexe DLL-Sideload-Techniken

Der in Go geschriebene und damit plattformübergreifend wirksame RDStealer nutzt auf dem Zielserver den legitimen Windows-Management-Instrumentation (WMI)-Dienst zum Dateiaustausch zwischen Remote Server und Administrator-Workstation für die Zwecke der Hacker aus. Ein kompromittierter RDP-Host als Zentrale der Command-and-Control-Kommunikation infiziert einen zugehörigen Client mit der Logutil-Backoor unter dem Gewand der legitimen ncobjapi.dll-Library. Die Angreifer speichern die Tools zum Missbrauch einer Remote-Verbindung für die Command-and-Control-Kommunikation und die Datenexfiltration in den Speicherorten, in der Verteidiger Malware am wenigsten vermuten. Dahinter steht das berechtigte Kalkül, dass IT-Sicherheitsverantwortliche diese deshalb mit höherer Wahrscheinlichkeit von einem Malware-Scan der IT-Abwehr ausnehmen.

Zu diesen Orten gehören etwa:

• %WinDir%\System32\
• %WinDir%\System32\wbem\
• %WinDir%\security\database\
• %PROGRAM_FILES%\f-secure\psb\diagnostics
• %PROGRAM_FILES_x86%\dell\commandupdate\
• %PROGRAM_FILES%\dell\md storage software\md configuration utility\
• Die Malware verweilt zudem lange getarnt im System, um kontinuierlich nach Informationen zu suchen und diese zu exfiltrieren.