L’uso di malware personalizzati e tecniche avanzate evidenzia la necessità di misure di sicurezza complete per proteggere i sistemi.
Negli ultimi anni, il mondo digitale ha assistito a una crescita esponenziale degli attacchi informatici, sia in termini di numero che di complessità. Un recente rapporto di Bitdefender Labs ha rivelato un’operazione di spionaggio informatico chiamata RedClouds, che ha destato preoccupazione per la sua sofisticazione e portata.
RedClouds ha iniziato a prendere di mira sistemi nell’Asia orientale nel 2022, ma sono state individuate attività dannose collegate a questi attaccanti già nel 2020. Ciò indica che gli autori delle minacce hanno continuamente migliorato le loro capacità nel corso del tempo.
Inizialmente, RedClouds si basava su strumenti di accesso remoto noti come RAT (Remote Access Trojans), come AsyncRAT e Cobalt Strike. Tuttavia, verso la fine del 2021 o l’inizio del 2022, gli aggressori hanno adottato un approccio più sofisticato, utilizzando malware personalizzati per eludere i meccanismi di rilevamento.
Ciò che rende RedClouds particolarmente preoccupante è l’utilizzo del malware personalizzato RDStealer, una backdoor lato server specializzata nell’estrazione di dati da unità condivise accessibili tramite connessioni Desktop remoto. RDStealer è in grado di monitorare il protocollo Remote Desktop Protocol (RDP) in entrata e sfruttare una macchina remota quando è abilitata la mappatura dell’unità client.
Una volta rilevata una nuova connessione client RDP, RDStealer esegue comandi per estrarre dati preziosi, inclusi cronologia di navigazione, credenziali e chiavi private da applicazioni come mRemoteNG, KeePass e Google Chrome. Questa capacità di acquisire informazioni sensibili da connessioni remote sottolinea l’intenzione degli aggressori di ottenere accesso non autorizzato a dati sensibili.
I sistemi infetti da RedClouds sono stati tutti prodotti da Dell, il che suggerisce un tentativo intenzionale di camuffare le attività dannose all’interno di sistemi legittimi. Gli aggressori hanno registrato nomi di dominio simili all’infrastruttura legittima di Dell per integrarsi perfettamente e rendere più difficile l’individuazione delle loro azioni.
Inoltre, i client RDP che si connettono ai sistemi compromessi vengono infettati da un malware personalizzato chiamato Logutil, basato su Golang. Logutil utilizza tecniche avanzate per mantenere la persistenza all’interno della rete della vittima e consentire agli autori delle minacce di eseguire comandi a distanza. Questo evidenzia il desiderio degli aggressori di acquisire credenziali e connessioni salvate su altri sistemi, sottolineando ulteriormente la natura pericolosa di questa operazione di spionaggio informatico.
L’operazione RedClouds mette in luce la crescente sofisticazione degli attacchi informatici moderni e la capacità degli attori delle minacce di sfruttare tecniche avanzate per prendere di mira tecnologie più vecchie e ampiamente utilizzate. È chiaro che i criminali informatici cercano costantemente nuovi modi per migliorare l’efficacia e la furtività dei loro attacchi.
Per proteggersi da tali minacce, diventa fondamentale implementare misure di sicurezza complete che siano progettate appositamente per contrastare diverse tipologie di attacchi. È necessario adottare una strategia di difesa multilivello che comprenda l’uso di soluzioni antivirus e antimalware affidabili, l’aggiornamento costante dei software e delle applicazioni, la formazione del personale sull’igiene informatica e le buone pratiche di sicurezza online.
Mentre la battaglia contro gli attacchi informatici diventa sempre più complessa, la consapevolezza e l’adozione di misure preventive adeguate sono essenziali per proteggere sia le aziende che gli utenti dalle conseguenze devastanti di tali operazioni di spionaggio informatico sofisticate come RedClouds.