Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Il nuovo malware RDStealer ruba dalle unità condivise su Desktop remoto
Una campagna di cyberspionaggio e hacking tracciata come "RedClouds" utilizza il malware personalizzato "RDStealer" per rubare automaticamente i dati dalle unità condivise tramite connessioni Desktop remoto.
La campagna dannosa è stata scoperta da Bitdefender Labs, i cui ricercatori hanno visto gli hacker prendere di mira i sistemi nell’Asia orientale dal 2022.
Sebbene non siano stati in grado di attribuire la campagna a specifici autori della minaccia, affermano che gli interessi degli autori della minaccia sono in linea con quelli della Cina e hanno la sofisticatezza di un livello APT sponsorizzato dallo stato.
Inoltre, Bitdefender afferma che gli hacker in questione hanno lasciato tracce di attività almeno dal 2020, inizialmente utilizzando strumenti standardizzati e passando a malware personalizzati alla fine del 2021.
Il Remote Desktop Protocol (RDP) è un protocollo proprietario di Microsoft che consente agli utenti di connettersi in remoto ai desktop Windows e utilizzarli come se fossero davanti al computer.
Questa funzionalità è estremamente utile per varie attività, tra cui il lavoro remoto, il supporto tecnico e IT, l'amministrazione del sistema e la gestione del server.
I server RDP esposti a Internet sono alcuni dei servizi online più presi di mira poiché forniscono un punto d'appoggio a una rete aziendale. Una volta ottenuto l’accesso, gli autori delle minacce possono utilizzare questo punto d’appoggio per diffondersi lateralmente in tutta la rete aziendale con furti di dati e attacchi ransomware.
Il protocollo Desktop remoto include una funzionalità chiamata "reindirizzamento del dispositivo", che ti consente di connettere unità locali, stampanti, appunti di Windows, porte e altri dispositivi con l'host remoto, che saranno quindi accessibili nelle sessioni del desktop remoto.
A queste risorse condivise si accede tramite una speciale condivisione di rete "\\tsclient" (client server terminale) che può quindi essere mappata per lettere di unità nella connessione RDP.
Ad esempio, se l'unità C:\ locale fosse condivisa tramite reindirizzamento del dispositivo, sarebbe accessibile come condivisione "\\tsclient\c" nella sessione RDP, che può quindi essere utilizzata per accedere ai file archiviati localmente dal desktop Windows remoto .
Gli autori delle minacce infettano i server desktop remoti con un malware RDStealer personalizzato che sfrutta questa funzionalità di reindirizzamento del dispositivo. Lo fa monitorando le connessioni RDP e rubando automaticamente i dati dalle unità locali una volta connesse al server RDP.
I cinque moduli che compongono RDStealer sono un keylogger, uno stabilitore di persistenza, un modulo di staging per il furto e l'esfiltrazione di dati, uno strumento di acquisizione del contenuto degli appunti e uno che controlla le funzioni di crittografia/decrittografia, registrazione e utilità di manipolazione dei file.
Dopo l'attivazione, RDStealer entra in un ciclo infinito di chiamate alla funzione "diskMounted", che verifica la disponibilità delle unità C, D, E, F, G o H sulle condivisioni di rete \\tsclient. Se ne trova qualcuno, avvisa il server C2 e inizia a estrarre i dati dal client RDP connesso.
Vale la pena notare che le posizioni e le estensioni dei nomi file che il malware enumera sulle unità C:\ includono il database delle password KeePass, le chiavi private SSH, il client SSH Bitvise, MobaXterm, connessioni mRemoteNG, ecc., indicando chiaramente che gli aggressori sono alla ricerca di credenziali che possono utilizzare per il movimento laterale.
Su tutte le altre unità, RDStealer eseguirà la scansione di tutto, con alcune eccezioni che difficilmente ospiteranno dati preziosi.
Bitdefender non ha informazioni dettagliate su come i server Desktop remoto vengono infettati, ma ha scoperto che il malware era archiviato nelle seguenti cartelle:
"Come parte della tattica di evasione, gli autori delle minacce hanno utilizzato cartelle meno sospettate di contenere malware e spesso escluse dalla scansione da parte delle soluzioni di sicurezza", spiega BitDefender.
Tutti i dati rubati dal dispositivo compromesso vengono archiviati localmente come stringhe crittografate nel file "C:\users\public\log.log" finché non vengono trasmessi ai server degli aggressori.
La fase finale dell'esecuzione di RDStealer consiste nell'attivare due file DLL, la backdoor Logutil ("bithostw.dll") e il suo caricatore ("ncobjapi.dll").