Dies zeigt eine aktuelle Cyberspionage-Kampagne. Die Bitdefender Labs beobachten erstmals mit RDStealer einen neuen Angriff unter Missbrauch von Fernanbindungen über das Remote Desktop Protocol (RDP). Ziel der Hacker ist es, Zugangsdaten zu kompromittieren und Daten oder Zertifikate zu exfiltrieren. Die Urheber der Attacke zur Cyberspionage begannen ihre Aktivitäten in Ostasien wohl schon in 2022. Sie verwenden dabei ein bereits beschriebenes Angriffskonzept, welches die Sicherheitsexperten jetzt zum ersten Mal mit einem Praxisbeispiel belegen können. Einem Urheber lässt sich die Malware nicht zuschreiben. Die Angriffsziele und die Komplexität der Attacke deuten aber auf eine chinesische Advanced-Persistent-Threat (APT)-Gruppe hin.
RDStealer verfügt über neuartige Möglichkeiten, die Downstream-Konnektivität von Remote-Desktop-Protokoll (RDP)-Clienten zu kompromittieren. Angreifer sind in der Lage, RDP-Verbindungen zu überwachen und – sofern die IT das Client Drive Mapping (CDM) des RDP-Protokolls aktiviert hat – remote angebundene Systeme für sich zu nutzen. Das CDM ist einer der in das RDP-Protokoll implementierten virtuellen Kanäle für den Austausch von Daten zwischen dem RDP Client und dem RDP Server.
Die Hacker nutzen in der Folge unter anderem verschiedene Tools zum Einsammeln von Informationen aus verschiedenen Applikationen für die Remote-Administration wie etwa MobaXterm, mRemoteNG, KeePass sowie Chrome-Passwörter und die Chrome-History. Angreifer versuchten auch, auf mysql-Daten im internen Arbeitsspeicher von Servern oder auf den Local Security Authority Subsystem Service (LSASS) zuzugreifen. Ebenso wichtig ist das Sammeln von Informationen über Server, Zugangsdaten oder gespeicherte Verbindungen zu anderen Systemen. Diese sollen beim Aufbau einer Command-and-Control-Infrastruktur helfen.
Der in Go geschriebene und damit plattformübergreifend wirksame RDStealer nutzt auf dem Zielserver den legitimen Windows-Management-Instrumentation (WMI)-Dienst zum Dateiaustausch zwischen Remote Server und Administrator-Workstation für die Zwecke der Hacker aus. Ein kompromittierter RDP-Host als Zentrale der Command-and-Control-Kommunikation infiziert einen zugehörigen Client mit der Logutil-Backoor unter dem Gewand der legitimen ncobjapi.dll-Library. Die Angreifer speichern die Tools zum Missbrauch einer Remote-Verbindung für die Command-and-Control-Kommunikation und die Datenexfiltration in den Speicherorten, in der Verteidiger Malware am wenigsten vermuten. Dahinter steht das berechtigte Kalkül, dass IT-Sicherheitsverantwortliche diese deshalb mit höherer Wahrscheinlichkeit von einem Malware-Scan der IT-Abwehr ausnehmen.
Zu diesen Orten gehören etwa:
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…