banner
Центр новостей
Постоянно совершенствуем наши технологии и качество, чтобы оставаться в курсе тенденций отрасли.

Новое вредоносное ПО RDStealer ворует диски, к которым предоставлен общий доступ через удаленный рабочий стол

Mar 29, 2024

Кампания по кибершпионажу и хакерству, отслеживаемая как «RedClouds», использует специальную вредоносную программу «RDStealer» для автоматической кражи данных с дисков, к которым предоставлен общий доступ через подключения к удаленному рабочему столу.

Вредоносная кампания была обнаружена Bitdefender Labs, исследователи которой наблюдали, как хакеры атакуют системы в Восточной Азии с 2022 года.

Хотя они не смогли приписать кампанию конкретным субъектам угроз, они отмечают, что интересы субъектов угроз совпадают с интересами Китая и имеют уровень сложности, спонсируемый государством APT.

Более того, Bitdefender утверждает, что отдельные хакеры оставляют следы своей деятельности, по крайней мере, с 2020 года, сначала используя готовые инструменты, а в конце 2021 года перейдя на специальные вредоносные программы.

Протокол удаленного рабочего стола (RDP) — это собственный протокол Microsoft, который позволяет пользователям удаленно подключаться к рабочим столам Windows и использовать их так, как если бы они находились перед компьютером.

Эта функция чрезвычайно полезна для различных задач, включая удаленную работу, техническую и ИТ-поддержку, системное администрирование и управление серверами.

Серверы RDP, доступные из Интернета, являются одними из наиболее целевых онлайн-сервисов, поскольку они обеспечивают опору для корпоративной сети. Получив доступ, злоумышленники могут использовать эту точку опоры для распространения по корпоративной сети в целях кражи данных и атак с использованием программ-вымогателей.

Протокол удаленного рабочего стола включает функцию под названием «перенаправление устройств», которая позволяет вам подключать локальные диски, принтеры, буфер обмена Windows, порты и другие устройства к удаленному хосту, которые затем будут доступны в сеансах удаленного рабочего стола.

Доступ к этим общим ресурсам осуществляется через специальный сетевой ресурс «\\tsclient» (клиент сервера терминалов), который затем можно сопоставить с буквами дисков в вашем RDP-соединении.

Например, если к локальному диску C:\ был предоставлен общий доступ посредством перенаправления устройства, он будет доступен как общий ресурс «\\tsclient\c» в сеансе RDP, который затем можно будет использовать для доступа к локально сохраненным файлам с удаленного рабочего стола Windows. .

Злоумышленники заражают серверы удаленных рабочих столов специальным вредоносным ПО RDStealer, которое использует эту функцию перенаправления устройств. Он делает это путем мониторинга RDP-соединений и автоматического кражи данных с локальных дисков после их подключения к RDP-серверу.

Пять модулей, входящих в состав RDStealer, — это кейлоггер, средство установления персистентности, модуль промежуточной кражи и эксфильтрации данных, инструмент захвата содержимого буфера обмена и один, управляющий функциями шифрования/дешифрования, утилитами ведения журналов и манипулирования файлами.

При активации RDStealer входит в бесконечный цикл вызова функции diskMounted, которая проверяет доступность дисков C, D, E, F, G или H на сетевых ресурсах \\tsclient. Если он их обнаружит, он уведомит сервер C2 и начнет извлекать данные из подключенного RDP-клиента.

Стоит отметить, что местоположения и расширения имен файлов, которые вредоносная программа перечисляет на дисках C:\, включают базу данных паролей KeePass, закрытые ключи SSH, клиент Bitvise SSH, соединения MobaXterm, mRemoteNG и т. д., что ясно указывает на то, что злоумышленникам нужны учетные данные, которые они могут использовать для бокового перемещения.

На всех остальных дисках RDStealer просканирует все, за некоторыми исключениями, на которых вряд ли будут храниться ценные данные.

Bitdefender не имеет представления о том, как в первую очередь заражаются серверы удаленных рабочих столов, но обнаружил, что вредоносное ПО хранилось в следующих папках:

«В рамках тактики уклонения злоумышленники использовали папки, которые менее подозрительны на наличие вредоносного ПО и часто исключаются из сканирования решениями безопасности», — объясняет BitDefender.

Все данные, украденные со скомпрометированного устройства, хранятся локально в виде зашифрованных строк в файле «C:\users\public\log.log» до тех пор, пока не будут переданы на серверы злоумышленников.

Завершающим этапом выполнения RDStealer является активация двух DLL-файлов: бэкдора Logutil («bithostw.dll») и его загрузчика («ncobjapi.dll»).