Une campagne de cyberespionnage et de piratage suivie sous le nom de « RedClouds » utilise le logiciel malveillant personnalisé « RDStealer » pour voler automatiquement des données à partir de disques partagés via des connexions Bureau à distance.
La campagne malveillante a été découverte par Bitdefender Labs, dont les chercheurs ont vu les pirates cibler des systèmes en Asie de l’Est depuis 2022.
Bien qu’ils n’aient pas été en mesure d’attribuer la campagne à des acteurs de la menace spécifiques, ils mentionnent que les intérêts des acteurs de la menace s’alignent sur ceux de la Chine et ont la sophistication d’un niveau APT parrainé par l’État.
De plus, Bitdefender affirme que les pirates particuliers ont laissé des traces d’activité depuis au moins 2020, utilisant initialement des outils prêts à l’emploi et passant à des logiciels malveillants personnalisés fin 2021.
Voler depuis un bureau à distance
Le Remote Desktop Protocol (RDP) est un protocole propriétaire de Microsoft qui permet aux utilisateurs de se connecter à distance aux postes de travail Windows et de les utiliser comme s’ils étaient devant l’ordinateur.
Cette fonctionnalité est extrêmement utile pour diverses tâches, notamment le travail à distance, le support technique et informatique, l’administration du système et la gestion des serveurs.
Les serveurs RDP exposés à Internet font partie des services en ligne les plus ciblés car ils permettent de prendre pied sur un réseau d’entreprise. Une fois qu’ils y ont accès, les acteurs de la menace peuvent utiliser cette présence pour se propager latéralement sur tout le réseau de l’entreprise lors de vols de données et d’attaques de ransomwares.
Le protocole de bureau à distance comprend une fonctionnalité appelée « redirection de périphérique », qui vous permet de connecter vos lecteurs locaux, imprimantes, presse-papiers Windows, ports et autres périphériques à l’hôte distant, qui sont ensuite accessibles dans vos sessions de bureau à distance.
Ces ressources partagées sont accessibles via un partage réseau spécial ‘\tsclient’ (client de serveur terminal) qui peut ensuite être mappé sur des lettres de lecteur dans votre connexion RDP.
Par exemple, si le lecteur C:\ local était partagé via la redirection de périphérique, il serait accessible en tant que partage ‘\tsclient\c’ dans la session RDP, qui peut ensuite être utilisé pour accéder aux fichiers stockés localement à partir du bureau Windows distant.
Les acteurs de la menace infectent les serveurs de bureau à distance avec un logiciel malveillant RDStealer personnalisé qui tire parti de cette fonctionnalité de redirection de périphérique. Pour ce faire, il surveille les connexions RDP et vole automatiquement les données des disques locaux une fois qu’ils sont connectés au serveur RDP.
Les cinq modules qui composent RDStealer sont un enregistreur de frappe, un établissement de persistance, un module de préparation de vol et d’exfiltration de données, un outil de capture de contenu de presse-papiers et un contrôle des fonctions de cryptage/décryptage, de journalisation et de manipulation de fichiers.
Lors de l’activation, RDStealer entre dans une boucle infinie d’appel de la fonction « diskMounted », qui vérifie la disponibilité des lecteurs C, D, E, F, G ou H sur les partages réseau \tsclient. S’il en trouve, il en informe le serveur C2 et commence à exfiltrer les données du client RDP connecté.
Il convient de noter que les emplacements et les extensions de nom de fichier que le logiciel malveillant énumère sur les lecteurs C: \ incluent la base de données de mots de passe KeePass, les clés privées SSH, le client Bitvise SSH, MobaXterm, les connexions mRemoteNG, etc., indiquant clairement que les attaquants recherchent des informations d’identification qu’ils peuvent utiliser pour le mouvement latéral.
Sur tous les autres lecteurs, RDStealer analysera tout, à quelques exceptions près qui sont peu susceptibles d’héberger des données précieuses.
Bitdefender manque d’informations sur la façon dont les serveurs de bureau à distance sont infectés en premier lieu, mais a découvert que le malware était stocké dans les dossiers suivants :
- %WinDir%\System32\
- %WinDir%\System32\wbem\
- %WinDir%\security\database\
- %PROGRAM_FILES%\f-secure\psb\diagnostics
- %PROGRAM_FILES_x86%\dell\commandupdate\
- %PROGRAM_FILES%\dell\md storage software\md configuration utility\
« Dans le cadre de la tactique d’évasion, les acteurs de la menace ont utilisé des dossiers qui sont moins suspectés de contenir des logiciels malveillants et sont souvent exclus de l’analyse par les solutions de sécurité », explique BitDefender.
Toutes les données volées sur l’appareil compromis sont stockées localement sous forme de chaînes cryptées dans le fichier « C:\users\public\log.log » jusqu’à ce qu’elles soient transmises aux serveurs des attaquants.
La dernière étape de l’exécution de RDStealer consiste à activer deux fichiers DLL, la porte dérobée Logutil (« bithostw.dll ») et son chargeur (« ncobjapi.dll »).
Le logiciel malveillant Logutil personnalisé
La campagne RedClouds utilise également une porte dérobée personnalisée basée sur Go nommée Logutil qui permet aux acteurs de la menace d’exécuter des commandes à distance et de manipuler des fichiers sur un appareil infecté.
Le logiciel malveillant utilise des failles de chargement latéral de DLL passives et actives pour s’exécuter sur un système piraté sans être détecté et utilise Windows Management Instrumentation (WMI) comme déclencheur d’activation.
« Cet implant est très efficace pour établir la persistance sur le système », décrit Bitdefender.
« Il peut être déclenché soit par le service WMI (démarré automatiquement avec plusieurs actions de récupération), soit par le processus hôte WMI. »
« Il existe souvent plusieurs instances du processus hôte WMI (WmiPrvSE.exe) en cours d’exécution, et il existe plusieurs façons de démarrer ce processus (y compris par l’interface DCOM pour les appels WMI distants). »
Logutil communique directement avec le C2 et obtient les commandes à exécuter, comme expliqué dans le tableau ci-dessous :
Les chercheurs soulignent que le C2 de Logutil contient des références à ESXi et Linux, il est donc probable que les acteurs de la menace utilisent déjà la polyvalence de Go pour créer une porte dérobée multiplateforme.
Bitdefender a partagé une liste complète des indicateurs de compromission dans son rapport, il est donc recommandé aux défenseurs d’en prendre note et d’appliquer plusieurs couches de mesures de sécurité qui se chevauchent.