News
Recherche Bitdefender : Campagne d’espionnage RedClouds/Malware RDStealer
juin 2023 par Bitdefender
Bitdefender publie une étude détaillant une campagne d’espionnage active et sophistiquée utilisant des techniques de malware observées pour la première fois dans la pratique.
Le concept de cette méthode d’attaque était connu en théorie, mais il s’agit bien du premier cas concret d’utilisation véritablement constaté. Ce nouveau malware, baptisé RDStealer, est un implant côté serveur qui s’accroche au sous-système Windows Management Instrumentation (WMI). Écrit en langage Go et s’appuyant sur des techniques complexes de chargement latéral de DLL, il est conçu pour rester furtif et collecter puis exfiltrer en continu des informations sensibles.
Ce qui rend RDStealer unique, c’est sa capacité à compromettre les connexions en aval des clients RDP (Remote Desktop Protocol). Lorsqu’une connexion RDP entrante répondant à certains critères est détectée, l’hôte RDP compromis infecte le client connecté avec une porte dérobée et tente d’exfiltrer des données précieuses telles que des informations d’identification ou des certificats.
Bitdefender recommande vivement à toutes les organisations d’être en état d’alerte, en particulier celles qui opèrent en Asie de l’Est, où RDStealer a été détecté pour la première fois. Le travail à distance étant désormais très répandu de par le monde, les mêmes techniques utilisées par RDStealer peuvent être appliquées pour avoir un impact sur d’autres systèmes à distance.
Principales conclusions :
– Bitdefender a découvert une campagne d’espionnage sophistiquée, baptisée RedClouds, qui a commencé au moins au début de l’année 2022 et est toujours active. L’opération vise les entreprises et les organisations d’Asie de l’Est.
– Bitdefender n’a pas attribué d’acteur spécifique à la menace, mais la sophistication et les cibles correspondent à un APT basé en Chine.
– La campagne vise les charges de travail RDP (Remote Desktop Protocol) en utilisant un nouveau malware appelé RDStealer, une porte dérobée appelée Logutil et des techniques de sideloading de DLL dans le but d’exfiltrer des données.
– La défense contre les attaques modernes (comme RDStealer) doit intégrer une architecture de défense en profondeur et inclure la prévention, la détection et la réponse aux menaces par le biais de solutions telles que XDR/EDR ou de services de sécurité gérés tels que MDR.
