Grupul de hackeri rus cunoscut sub numele de APT29 (aka „Midnight Blizzard”) folosește o rețea de 193 servere proxy de protocol desktop la distanță pentru a efectua atacuri de tip man-in-the-middle (MiTM) pentru a fura date și credențiale și pentru a instala sarcini malitioase.
Atacurile MiTM au utilizat instrumentul proxy de echipă roșie PyRDP pentru a scana sistemul de fișiere al victimelor, a fura date în fundal și a executa aplicații răuvoitoare în mod remote în medii compromise.
Trend Micro, care urmărește actorii de amenințare sub numele de ‘Earth Koshchei’, raportează că această campanie vizează organizații guvernamentale și militare, entități diplomatice, furnizori de servicii IT și cloud, precum și companii de telecomunicații și cibernetică.
Domeniile înregistrate pentru campanie sugerează că APT29 a vizat entități în principal în SUA, Franța, Australia, Ucraina, Portugalia, Germania, Israel, Franța, Grecia, Turcia și Olanda.
Protocolul Desktop la Distanță (RDP) este un protocol proprietar dezvoltat de Microsoft care permite utilizatorilor să acceseze și să controleze în mod remote un alt calculator printr-o rețea. Este folosit în mod obișnuit pentru administrare la distanță, suport tehnic și conectarea la sisteme în medii enterprise.
În octombrie 2024, Amazon și CERT-UA au publicat rapoarte care confirmă că APT29 înșală victimele să se conecteze la servere RDP răuvoitoare după ce rulează un fișier atașat la emailurile de pescuit.
Odată ce conexiunea este stabilită, resursele locale, inclusiv discuri, rețele, imprimante, clipboard-ul, dispozitivele audio și porturile COM, sunt partajate cu serverul RDP controlat de atacator, permițându-le acces necondiționat la informații sensibile.
Cel mai recent raport al Trend Micro dezvăluie mai multe detalii despre această activitate după identificarea a 193 de servere proxy RDP care redirecționează conexiunile către 34 de servere backend controlate de atacatori, permițându-le acestora să monitorizeze și să intercepteze sesiunile RDP.
Hackerii folosesc un instrument Python de echipă roșie numit PyRDP pentru a intercepta toată comunicarea dintre victimă și sesiunea la distanță, permițând conexiunii să pară legitimă.
Instrumentul le permite atacatorilor să înregistreze parole în text simplu sau hash-uri NTLM, să fure date din clipboard, fișiere transferate, date din unitățile partajate în fundal și să ruleze comenzi de consolă sau PowerShell pe conexiuni noi.
Cercetătorii explică că această tehnică a fost descrisă pentru prima dată de Mike Felch în 2022, care ar fi putut inspira tactica APT29.
„Odată ce conexiunea este stabilită, serverul răuvoitor imită comportamentul unui server RDP legitim și exploatează sesiunea pentru a efectua diverse activități răuvoitoare”, explică Trend Micro.
„Un vector de atac principal implică atacatorul să implementeze scripturi răuvoitoare sau să modifice setările sistemului pe calculatorul victimei.”
„În plus, proxy-ul PyRDP facilitează accesul la sistemul de fișiere al victimei, permițând atacatorului să navigheze în directoare, să citească sau să modifice fișiere și să injecteze sarcini malitioase.”
Printre configurațiile răuvoitoare analizate de Trend Micro, există și una care îi servește utilizatorului o cerere de conexiune falsă la Testul de Stabilitate al Conexiunii Securizate AWS.
În ceea ce privește evitarea APT29, cercetătorii raportează că hackerii ruși folosesc o combinație de produse VPN comerciale care acceptă plăți cu criptomonede, noduri de ieșire TOR și servicii proxy rezidențiale pentru a masca adresele IP ale serverelor RDP răuvoitoare.
Pentru a se apăra împotriva configurațiilor RDP răuvoitoare, este necesară o bună reacție la emailurile răuvoitoare, care, în acest caz, au fost trimise de adrese legitime compromise înainte de lansarea campaniei.
Mai important, utilizatorii Windows ar trebui să facă doar conexiuni RDP către servere cunoscute și de încredere și să nu utilizeze niciodată conexiuni RDP trimise prin atașamente de email.
Leave a Reply