Érdemes óvatosnak lenni, derül ki a #BitdefenderLabs friss júniusi jelentésből. A most publikált riportban a kelet-ázsiai régióból erősödő kémkedési incidensekről tudhatunk meg több információt.
A #BitdefenderLabs kutatásának legérdekesebb felfedezése egy új a #Bitdefender által #RDStealer névre keresztelt egyedi #malware. Ez a #Bitdefender által felfedezett #malware figyeli a bejövő RDP (Remote Desktop Protocol) kapcsolatokat, amelyekben engedélyezve van az ügyfél oldali meghajtójának leképezése. A csatlakozó RDP kapcsolatokat megfertőzi a Logutil backdoor-t és érzékeny adatokat (például hitelesítő adatokat vagy privát kulcsokat) szivárogtat ki. A #backdoor egy olyan kiberbiztonsági #malware, amely elrejti a rosszindulatú tevékenységeket és melegágya a #spyware, másnéven kémprogramoknak.
Mi a célja a kémkedésnek?
Az nem titok, hogy a modernkor aranya az adat és ez a legnagyobb kincs, amelyet az akár államilag támogatott hacker csapatok próbálnak kinyerni a vállalatoktól vagy célzott személyektől. Úgy tűnik, hogy a támadás elsődleges célja a hitelesítő adatok ellopása és az adatok kiszivárgása volt.
Hogyan jutnak túl egy sima végpontvédelmen a kiberbűnözők?
A %PROGRAM_FILES% és %PROGRAM_FILES_x86% helyeket valószínűleg a jogtiszta szoftver utánzására választották ki a hacker csoportok. A rosszindulatú szoftvereket egy további helyen, a %WinDir%\security\database mappában is felfedezték, amely a Windows biztonsági adatbázisainak tárolására szolgál. A Microsoft útmutatást adott arra vonatkozóan, hogy az ezen a helyen található bizonyos fájlokat ne vizsgálják a végpontbiztonsági termékek. A kémkedés elkövetői valószínűleg számítottak arra, hogy egyes IT rendszergazdák vagy IT biztonsági szakemberek a teljes mappa kizárása mellett döntenek ahelyett, hogy pontosabb és részletesebb kizárásokat hajtanának végre. Ebből is látható, hogy a kivételkezeléseket nagyon fontos átgondolni, hiszen ebben az esetben is ez egy sérülékenységi pont, amelyet a #Bitdefender által publikált Labs jelentésben is olvashatunk.
Mi is pontosan a #Bitdefender által frissen felfedezett #RDStealer?
Az első a #BitdefenderLabs által elemzett egyedi kártevő adatgyűjtésre specializálódott, beleértve a vágólap tartalmának rögzítését és a billentyűzet naplózási képességeket. Amit még érdekesebbnek talált a #biztributor által forgalmazott #Bitdefender, az a bejövő RDP-kapcsolatok megfigyelésére és a távoli gép kompromittálására való képessége, ha az ügyfél meghajtójának leképezése engedélyezve van.
Hogyan legyen vállalatod lépés előnyben?
A modern, komplex támadások ellen, olyan végpontvédelmi gyártó megoldásait válaszátok, amely XDR/ EDR funkcionalitással rendelkezik, hiszen a mélységi és valós idejű elemzések segítenek biztonságban lenni. Végül, ahhoz, hogy ezek a képességek hatékonyan csökkentsék a biztonsági kockázatokat, mindegyikükre válaszadási képességeket kell fenntartania.
Ha szeretnél elsőkézből értesülni kövesd be LinkedIn-csatornánkat, és/vagy keresd szakértőinket ingyenes konzultációs lehetőségünkkel kapcsolatban.
#biztributor #itsecurity #security #malware #backdoor #spyware #rdp #rdstealer #bitdefender #bitdefenderlabs #endpoint #endpointsecurity #xdr #edr
Forrás: Unpacking RDStealer: An Exfiltration Malware Targeting RDP Workloads (bitdefender.com)