外网专线

外网专线
(图片来源:123RF)

比特梵德公司最好的防病毒软件offerings around)发现了一种令人担忧的新型恶意软件,该恶意软件可在用户毫无察觉的情况下从端点提取敏感信息。

被称为RDStealer的恶意软件自2022年以来,Bitdefender一直将其作为针对东亚基础设施的持续间谍行动的一部分,由于其复杂性,Bitdefender认为这是国家支持的行动。

尽管Bitdefender未能确定具体的罪魁祸首,但它认为 "目标与中国威胁行为者的利益一致"。

企业外网专线

RDStealer是一款服务器端植入软件,可监控启用了客户端驱动器映射的远程桌面协议(RDP)连接。 RDP客户端感染了另一款名为Logutil的定制恶意软件,这是一款有助于提取敏感数据(如密码和私钥)的后门软件。 RDStealer还可以记录键盘记录和捕获剪贴板内容。

Bitdefender还声称,这种活动比典型的DLL侧载攻击更先进:多个DLL库被链在一起......所选位置很好地融入系统,侧载过程本身是通过巧妙利用WMI子系统启动的;

RDStealer和Logutil都是用Go语言编写的,这是一种跨平台编程语言,这意味着恶意软件可以在多个平台上运行。作业系统. Bitfender称,它在分析与攻击相关的域时发现了Linux和ESXi的引用,"表明Logutil后门是一个多平台工具"。

该公司还指出,虽然这种攻击方法背后的概念早已为人所知,但这是首次在野外看到利用这种方法的恶意软件。 该公司担心,这种方法能够在各种平台上使用,只需极少修改或无需修改,而且这种解决方案在大流行后也很普遍。

为了避免被检测到,威胁方将恶意软件注入到通常被恶意软件扫描软件排除在外的文件夹中,如"%WinDir%\System32\"和"%WinDir%\security\database"。

Bitdefender认为,威胁行为者选择后一个位置可能是希望管理员将其完全排除在安全扫描之外,因为微软提供了具体指导,要求在此类扫描中忽略该文件夹中的某些文件。

"Bitdefender总结道:"这次攻击证明了现代网络攻击的日益复杂性,同时也强调了一个事实,即威胁行为者可以利用他们新发现的复杂性来利用被广泛采用的旧技术。

为了保持安全,该公司建议使用 "纵深防御架构",即采用多层重叠的安全措施,以防范各种威胁。

"多层安全的使用创造了攻击者必须克服的重叠障碍,这可以降低攻击成功的可能性,在攻击发生时限制攻击范围,并提供潜在威胁的早期预警"。

外网专线
撰稿人

Lewis Maddison是TechRadar Pro的撰稿人。 他的专业领域是在线安全和保护,包括密码管理器等工具和软件。


他的报道还关注个人和职业环境中的技术使用习惯--尤其是技术与社会和文化问题的关系--并乐于发掘那些可能不会见诸报端的故事。


他拥有伦敦大学哲学学士学位,曾在阳光明媚的马耳他留学一年。