New RDStealer malware steals from drives shared over Remote Desktop
พบแคมเปญขโมยข้อมูลใหม่ที่ชื่อ RedClouds ซึ่งใช้มัลแวร์ RDStealer ที่เพื่อขโมยข้อมูลจากไดรฟ์ที่แชร์ผ่านการเชื่อมต่อ Remote Desktop โดยอัตโนมัติ ผู้โจมตีจะพยายามติดตั้งไวรัสผ่านเซิร์ฟเวอร์ RDP ด้วยมัลแวร์ RDStealer แบบกำหนดเองที่ใช้ประโยชน์จากการเปลี่ยนเส้นทางของอุปกรณ์ การโจมตีของ RDStealer นั้นประกอบไปด้วย 5 ส่วน คือ คีย์ล็อกเกอร์ซึ่งเครื่องมือสร้างการคงอยู่ การโจรกรรมข้อมูลและการกรองข้อมูล, เครื่องมือบันทึกเนื้อหาคลิปบอร์ด, การควบคุมฟังก์ชันการเข้ารหัส/ถอดรหัส, การบันทึก และยูทิลิตีการจัดการไฟล์
เมื่อเปิดใช้งาน RDStealer จะเข้าสู่ infinity loop ของการเรียกใช้ฟังก์ชัน diskMounted ซึ่งจะตรวจสอบความพร้อมใช้งานของไดรฟ์ C, D, E, F, G หรือ H บนเครือข่าย \tsclient ที่ใช้ร่วมกัน หากพบสิ่งใดก็จะแจ้งกลับไปยังเซิร์ฟเวอร์ C2 และเริ่มการกรองข้อมูลจากไคลเอนต์ RDP ที่เชื่อมต่อ เป็นที่น่าสังเกตว่าตำแหน่งที่ตั้งและนามสกุลไฟล์ที่มัลแวร์ระบุบนไดรฟ์ C: รวมถึงฐานข้อมูลรหัสผ่าน KeePass, คีย์ส่วนตัว SSH, ไคลเอนต์ Bitvise SSH, MobaXterm, การเชื่อมต่อ mRemoteNG เป็นต้น ซึ่งบ่งชี้อย่างชัดเจนว่าผู้โจมตีต้องการข้อมูลประจำตัวที่พวกเขาสามารถใช้สำหรับการทำ lateral movement
ตอนนี้ Bitdefender ยังขาดข้อมูลเชิงลึกว่าเซิร์ฟเวอร์ RDP ติดไวรัสได้อย่างไร แต่พวกเขาพบว่ามัลแวร์ถูกจัดเก็บไว้ในโฟลเดอร์ต่อไปนี้ %WinDir%System32 %WinDir%System32wbem %WinDir%securitydatabase %PROGRAM_FILES%f-securepsbdiagnostics %PROGRAM_FILES_x86%dellcommandupdate %PROGRAM_FILES%dellmd storage softwaremd configuration utility BitDefender อธิบายว่า ในส่วนหนึ่งของการหลบเลี่ยงการตรวจจับ ผู้โจมตีใช้โฟลเดอร์ที่ไม่น่าสงสัยว่าจะมีมัลแวร์และมักจะถูกแยกออกจากการสแกนโดยโซลูชันความปลอดภัย ข้อมูลทั้งหมดที่ถูกขโมยจากอุปกรณ์ที่ถูกบุกรุกจะถูกจัดเก็บไว้ในเครื่องเป็นสตริงเข้ารหัสในไฟล์ C:userspubliclog.log จนกว่าจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี ขั้นตอนสุดท้ายของการดำเนินการของ RDStealer คือการเปิดใช้งานไฟล์ DLL สองไฟล์ ได้แก่ Logutil backdoor (bithostw.dll) และตัวโหลด ncobjapi.dll
https://www.bleepingcomputer.com/news/security/new-rdstealer-malware-steals-from-drives-shared-over-remote-desktop/