Gli esperti di Bitdefender hanno individuato un’attività di spionaggio da parte di cybercriminali, noti come RedClouds, legati al governo cinese. Durante l’indagine è stato scoperto un nuovo malware, denominato RDStealer, che sfrutta il protocollo Remote Desktop per rubare i dati dalle unità condivise. Sui computer viene anche installata la backdoor Logutil.
Accesso remoto ai drive condivisi
Lo scopo principali degli attacchi è rubare dati e credenziali. Per evitare la rilevazione, il malware viene copiato in directory spesso escluse dalla scansione delle soluzioni di sicurezza. Il protocollo Remote Desktop consente di accedere da remoto alle risorse del computer Windows, come unità di storage, stampanti e porte.
RDStealer sfrutta la funzionalità “device redirection” del protocollo per accedere alle unità condivise del computer client. Ad esempio, se viene condivisa l’unità C:\, l’utente può accedere da remoto alla condivisione \\tsclient\c e quindi ai file locali.
Il malware, installato sul desktop remoto (server), effettua la ricerca delle condivisioni per le unità C, D, E, F, G e H. Se trovate, invia una notifica al server C2 (command and control) e inizia ad esfiltrare i dati. Questi ultimi vengono salvati in un archivio ZIP prima dell’invio al server C2.
Successivamente vengono copiati quattro file sul computer, due dei quali sono la backdoor Logutil (bithostw.dll) e il suo loader (ncobjapi.dll). La backdoor serve per mantenere l’accesso da remoto e quindi per effettuare download/upload di file o eseguire comandi. Il caricamento in memoria avviene con la nota tecnica DLL sideloading. In alcuni casi viene sfruttato il servizio WMI (Windows Management Instrumentation).
Sia RDStealer che Logutil sono scritti in linguaggio Go, pertanto è possibile effettuare attacchi anche contro sistemi Linux e macchine virtuali VMware ESXi.
Ti potrebbe interessare
21 giu 2023