Serangan cyber yang sangat bertarget terhadap perusahaan TI Asia Timur melibatkan penyebaran malware khusus yang ditulis dalam bahasa Golang yang disebut RDStealer.
operasi tersebut mengandalkan trojan akses jarak jauh yang tersedia seperti AsyncRAT dan Cobalt Strike, sebelum beralih ke malware yang dipesan lebih dahulu pada akhir 2021 atau awal 2022 dalam upaya untuk menggagalkan deteksi.
Taktik penghindaran utama menyangkut penggunaan folder Microsoft Windows yang cenderung dikecualikan dari pemindaian oleh perangkat lunak keamanan (misalnya, System32 dan Program Files) untuk menyimpan muatan backdoor.
Salah satu sub-folder yang dimaksud adalah “C:\Program Files\Dell\CommandUpdate,” yang merupakan direktori untuk aplikasi resmi Dell bernama Dell Command | Memperbarui.
Bitdefender mengatakan semua mesin yang terinfeksi selama insiden tersebut diproduksi oleh Dell, menunjukkan bahwa pelaku ancaman sengaja memilih folder ini untuk menyamarkan aktivitas berbahaya.
Garis penalaran ini didukung oleh fakta bahwa aktor ancaman mendaftarkan domain perintah-dan-kontrol (C2) seperti “dell-a[.]ntp-update[.]com” dengan tujuan menyatu dengan lingkungan target .
Kumpulan intrusi ditandai dengan penggunaan pintu belakang sisi server yang disebut RDStealer, yang berspesialisasi dalam mengumpulkan konten clipboard dan data keystroke terus menerus dari host.
Namun yang membuatnya menonjol adalah kemampuannya untuk “memantau koneksi RDP [Remote Desktop Protocol] yang masuk dan membahayakan mesin jarak jauh jika pemetaan drive klien diaktifkan.”
Jadi, ketika koneksi klien RDP baru terdeteksi, perintah dikeluarkan oleh RDStealer untuk mengekstraksi data sensitif, seperti riwayat penelusuran, kredensial, dan kunci pribadi dari aplikasi seperti mRemoteNG, KeePass, dan Google Chrome.
“Penjahat dunia cyber terus berinovasi dan mengeksplorasi metode baru untuk meningkatkan keandalan dan kerahasiaan aktivitas jahat mereka,” kata Zugec.
“Serangan ini berfungsi sebagai bukti meningkatnya kecanggihan serangan dunia cyber modern, tetapi juga menggarisbawahi fakta bahwa pelaku ancaman dapat memanfaatkan kecanggihan baru mereka untuk mengeksploitasi teknologi lama yang diadopsi secara luas.”
sumber : thehackernews.com
