Language
banner
ニュース センター
常に技術と品質を向上させ、業界のトレンドを常に最新の状態に保ちます。
ホームページ > ニュース

新しい RDStealer マルウェアがリモート デスクトップ経由で共有されているドライブから盗む

Mar 29, 2024

「RedClouds」として追跡されているサイバースパイ活動およびハッキング キャンペーンは、カスタムの「RDStealer」マルウェアを使用して、リモート デスクトップ接続を介して共有されているドライブからデータを自動的に盗みます。

この悪意のあるキャンペーンは Bitdefender Labs によって発見され、その研究者は 2022 年以来東アジアのシステムを標的とするハッカーを観察してきました。

彼らは、このキャンペーンが特定の脅威アクターによるものであるとは言えませんでしたが、脅威アクターの利益は中国と一致しており、国家支援の APT レベルの精緻性を備えていると述べています。

さらに、Bitdefenderによれば、特定のハッカーは少なくとも2020年以来活動の痕跡を残しており、当初は既製のツールを使用していたが、2021年後半にはカスタムマルウェアに切り替えたという。

リモート デスクトップ プロトコル (RDP) は、ユーザーが Windows デスクトップにリモート接続し、コンピュータの前にいるかのように使用できるようにする Microsoft 独自のプロトコルです。

この機能は、リモート作業、技術および IT サポート、システム管理、サーバー管理などのさまざまなタスクに非常に役立ちます。

インターネットに公開された RDP サーバーは、企業ネットワークへの足掛かりとなるため、最も標的とされるオンライン サービスの 1 つです。 攻撃者はアクセス権を獲得すると、この足がかりを利用して企業ネットワーク全体に横方向に拡散し、データ盗難やランサムウェア攻撃を行う可能性があります。

リモート デスクトップ プロトコルには、「デバイス リダイレクト」と呼ばれる機能が含まれています。これにより、ローカル ドライブ、プリンター、Windows クリップボード、ポート、その他のデバイスをリモート ホストに接続し、リモート デスクトップ セッションでアクセスできるようになります。

これらの共有リソースには、特別な '\\tsclient' (ターミナル サーバー クライアント) ネットワーク共有を介してアクセスされ、RDP 接続のドライブ文字にマップできます。

たとえば、ローカル C:\ ドライブがデバイス リダイレクト経由で共有されている場合、RDP セッションで '\\tsclient\c' 共有としてアクセスでき、これを使用して、リモート Windows デスクトップからローカルに保存されたファイルにアクセスできます。 。

攻撃者は、このデバイス リダイレクト機能を利用するカスタム RDStealer マルウェアをリモート デスクトップ サーバーに感染させます。 これは、RDP 接続を監視し、RDP サーバーに接続されるとローカル ドライブからデータを自動的に盗むことによって行われます。

RDStealer を構成する 5 つのモジュールは、キーロガー、永続性確立モジュール、データ盗難および抽出ステージング モジュール、クリップボード コンテンツ キャプチャ ツール、および暗号化/復号化機能、ロギング、およびファイル操作ユーティリティを制御するモジュールです。

アクティブ化すると、RDStealer は「diskMounted」関数を呼び出す無限ループに入り、\\tsclient ネットワーク共有上の C、D、E、F、G、または H ドライブの可用性を確認します。 何かが見つかった場合は、C2 サーバーに通知し、接続されている RDP クライアントからのデータの抽出を開始します。

注目に値するのは、マルウェアが列挙する C:\ ドライブ上の場所とファイル名拡張子には、KeePass パスワード データベース、SSH 秘密キー、Bitvise SSH クライアント、MobaXterm、mRemoteNG 接続などが含まれており、攻撃者が認証情報を狙っていることを明確に示しています。横方向の移動に使用します。

他のすべてのドライブでは、RDStealer は、貴重なデータをホストする可能性が低いいくつかの例外を除いて、すべてをスキャンします。

Bitdefender は、リモート デスクトップ サーバーがそもそもどのように感染するのかについての洞察を欠いていますが、マルウェアが次のフォルダーに保存されていることがわかりました。

「回避戦術の一環として、攻撃者はマルウェアが含まれている疑いが低く、セキュリティ ソリューションによるスキャンから除外されることが多いフォルダーを使用しました」と BitDefender は説明します。

侵害されたデバイスから盗まれたすべてのデータは、攻撃者のサーバーに送信されるまで、「C:\users\public\log.log」ファイル内の暗号化された文字列としてローカルに保存されます。

RDStealer 実行の最終段階では、Logutil バックドア (「bithostw.dll」) とそのローダー (「ncobjapi.dll」) という 2 つの DLL ファイルをアクティブ化します。

首相
リストに戻る