เครื่องมือ RDP ที่ไม่เหมาะสม ซึ่งเหมือนกับ Swiss Army Knife ใช้เพื่อปล้นสะดม เข้ารหัส และจัดการข้อมูล

เครื่องมือ RDP ที่ไม่เหมาะสม ซึ่งเหมือนกับ Swiss Army Knife ใช้เพื่อปล้นสะดม เข้ารหัส และจัดการข้อมูล

เมื่อเร็ว ๆ นี้นักวิจัยของ Bitdefender ได้ตรวจพบว่ามีการแสดงเหมือนถูกคุกคาม ได้ใช้คุณสมบัติที่ถูกต้องตามกฎหมาย ในบริการของ RDP เพื่อเป็นเทคนิคการโจมตีแบบไม่ใส่ชื่อ วางเครื่องมืออเนกประสงค์สำหรับการพิมพ์ลายนิ้วมืออุปกรณ์ stealers คลิปบอร์ด

เวกเตอร์การโจมตีเกี่ยวข้องกับ Windows Remote Desktop Server ไคลเอนต์ RDP มีความสามารถในการแบ่งปันอักษรระบุไดรฟ์บนเครื่องของพวกเขา ซึ่งทำหน้าที่เป็นทรัพยากรในเครือข่ายเสมือนท้องถิ่น ผู้โจมตีสามารถใช้ไดเรกทอรีที่ใช้ร่วมกัน เป็นกลไกการกรองข้อมูลที่ง่ายกว่าโปรโตคอล RDP ด้วยการใช้องค์ประกอบนอกชั้นวางที่ตำแหน่งเครือข่าย “tsclient1” (Terminal Server Client) ผู้โจมตีสามารถดำเนินการได้โดยใช้ “explorer.exe” หรือ “cmd.exe” และใช้เพื่อดาวน์โหลดมัลแวร์เพิ่มเติม

คอมโพเนนต์“ worker.exe” มอบความสามารถมากมายหลาย โดยส่วนใหญ่ใช้สำหรับการรวบรวมข้อมูล มันมีความสามารถตั้งแต่การรวบรวมข้อมูลระบบ (เช่นสถาปัตยกรรม, โมเดล CPU และจำนวนแกน, ขนาด RAM, เวอร์ชั่น Windows ฯลฯ ) ไปจนถึงการจับภาพหน้าจอ, รวบรวมที่อยู่ IP และชื่อโดเมนของเหยื่อ, การดึงข้อมูลเกี่ยวกับเบราว์เซอร์เริ่มต้น และพอร์ตที่เปิดเฉพาะ แม้คำสั่งการป้องกันและการตรวจสอบการหลีกเลี่ยงก็ตาม

แคมเปญดูเหมือนจะไม่ได้กำหนดเป้าหมายไปยังอุตสาหกรรม หรือบริษัทที่เฉพาะเจาะจง แต่ก็ได้มีการขู่แบบยิงปืนลูกซอง โดยมุ่งเน้นไปที่การเข้าถึงเหยื่อให้ได้มากที่สุด ในแง่ของผลกระทบทางการเงินรายรับจากการเข้ารหัสโดยประมาณ ตามกระเป๋าเงินดิจิตอลที่พบ บ่งชี้ว่าผู้โจมตีได้ทำเงินอย่างน้อย 150,000 เหรียญสหรัฐ ผ่านทางแคมเปญของพวกเขา

การค้นพบที่สำคัญ

  • ารละเมิด RDP เพื่อ exfiltrate ข้อมูลผ่านเครือข่ายที่ใช้ร่วมกัน
  • เครื่องมืออเนกประสงค์ที่ใช้ในการคัดกรองผู้ที่ตกเป็นเหยื่อ และวางสิ่งที่เป็นอันตราย (ransomware, stealers คลิปบอร์ด, miner cryptocurrency และโทรจัน info-stealer)
  • ตระกูลไวรัสเรียกค่าไถ่สำเร็จรูป ที่ใช้เป็นเพย์โหลด (Rapid Ransomware และ Nemty)
  • คลิปบอร์ด stealers แทนที่ที่อยู่ cryptocurrency ด้วยที่อยู่ของผู้โจมตี
  • มากกว่า $ 150,000 ทำกำไรผ่าน cryptocurrency (22.604 BTC, 25.098 ETH, 13.846 DASH และ 1.329 LTC) ไม่รวม Monero

การวิเคราะห์ที่สมบูรณ์ขององค์ประกอบที่วิเคราะห์นั้น มีอยู่ในรายงานการวิจัยที่มีให้ดาวน์โหลดด้านล่าง รายการตัวบ่งชี้การเข้าจู่โจมเครื่องของคุณที่ทันสมัย และสมบูรณ์แบบ มีให้สำหรับผู้ใช้ Bitdefender Advanced Threat Intelligence เท่านั้น

BitdefenderTotal Security

Regular Price: ฿999.00

ประหยัด:฿100.00

Special Price: ฿899.00

Post Releases