Bitdefender是最好的防病毒软件产品之一，它发现了一种令人担忧的新恶意软件，它可以在用户不知情的情况下从端点提取敏感信息。

该恶意软件被称为RDStealer，自2022年以来一直被用作针对东亚基础设施的持续间谍活动的一部分，Bitdefender认为该活动由于其复杂性而受到国家支持。

尽管未能确定具体罪魁祸首，但Bitdefender认为，“该目标符合中国威胁行为者的利益。”

RDStealer是一种服务器端植入程序，可在启用客户端驱动器映射的情况下监视远程桌面协议(RDP)连接。RDP客户端感染了另一种名为Logutil的自定义恶意软件，该后门有助于提取密码和私钥等敏感数据。RDStealer还可以进行键盘记录和捕获剪贴板内容。

Bitdefender还声称，该活动比典型的DLL旁加载攻击更先进：“多个DLL库链接在一起......选定的位置很好地融入系统，旁加载过程本身是通过巧妙利用WMI子系统启动的。”

RDStealer和Logutil都是用Go编写的，Go是一种跨平台编程语言，这意味着恶意软件可以在多个操作系统上运行。Bitfender表示，在分析与攻击相关的域时，它发现了对Linux和ESXi的引用，“表明Logutil后门是一个多平台工具”。

该公司还指出，尽管这种攻击方法背后的概念已经为人所知一段时间了，但这是第一次在野外发现利用该方法的恶意软件。它担心其无需修改或最少修改即可在各种平台上使用的能力，以及此类解决方案在大流行后的流行程度。

为了避免检测，威胁行为者将恶意软件注入到通常被排除在恶意软件扫描软件之外的文件夹中，例如“%WinDir%System32”和“%WinDir%securitydatabase”。

Bitdefender认为，威胁行为者可能选择了后一个位置，因为预计管理员会将其完全排除在安全扫描之外，因为Microsoft提供了从此类扫描中忽略此文件夹中的某些文件的具体指导。

Bitdefender总结道：“这次攻击证明了现代网络攻击日益复杂，但也强调了这样一个事实：威胁行为者可以利用其新发现的复杂性来利用较旧的、广泛采用的技术。”

为了保持保护，该公司建议使用“深度防御架构，涉及采用多层重叠的安全措施，旨在防范各种威胁。”

“使用多层安全性会产生攻击者必须克服的重叠障碍，这可以降低攻击成功的可能性，限制发生攻击的范围，并提供潜在威胁的早期预警。”