APT29 (aka Midnight Blizzard "olarak izlenen Rus hack grubu, verileri ve kimlik bilgilerini çalmak ve kötü niyetli yükler kurmak için ortada (MITM) saldırıları gerçekleştirmek için 193 uzak masaüstü protokol proxy sunucularından oluşan bir ağ kullanıyor.
MITM saldırıları, kurbanların dosya sistemlerini taramak, arka planda veri çalmak ve ihlal edilen ortamda haydut uygulamaları uzaktan yürütmek için Pyrdp Red Team Proxy aracını kullandı.
Tehdit aktörlerini 'Dünya Koshchei' olarak izleyen trend micro, bu kampanyanın hükümet ve askeri kuruluşları, diplomatik kuruluşları, BT ve bulut hizmet sağlayıcılarını ve telekomünikasyon ve siber güvenlik şirketlerini hedeflediğini bildiriyor.
Kampanya için kayıtlı alan adları, APT29'un öncelikle ABD, Fransa, Avustralya, Ukrayna, Portekiz, Almanya, İsrail, Fransa, Yunanistan, Türkiye ve Hollanda'da hedeflediğini gösteriyor.
Uzak Masaüstü Protokolü (RDP), Microsoft tarafından geliştirilen ve kullanıcıların başka bir bilgisayara bir ağ üzerinden uzaktan erişmesine ve kontrol etmesine olanak tanıyan tescilli bir protokoldür. Uzaktan yönetim, teknik destek ve kurumsal ortamlardaki sistemlere bağlantı için yaygın olarak kullanılır.
Ekim 2024'te Amazon ve CERT-UA, APT29'un kimlik avı e-postalarına ekli bir dosya çalıştırdıktan sonra kurbanları Rogue RDP sunucularına bağlamaya kandırdığını doğrulayan raporlar yayınladı.
Bağlantı kurulduktan sonra, diskler, ağlar, yazıcılar, pano, ses cihazları ve COM bağlantı noktaları dahil yerel kaynaklar, saldırgan kontrollü RDP sunucusu ile paylaşılır ve hassas bilgilere koşulsuz erişim sağlar.
Trend Micro'nun son raporu, 34 saldırgan kontrolündeki arka uç sunucularına bağlantıları yönlendiren 193 RDP proxy sunucusunu tanımladıktan sonra, saldırganların RDP oturumlarını izlemesine ve kesmesine izin veren bu etkinlik hakkında daha fazla ayrıntı ortaya koyuyor.
Bilgisayar korsanları, kurban ve uzak oturum arasındaki tüm iletişimi engellemek için Pyrdp adlı bir Python "Middle" MITM kırmızı takım aracı kullanıyor ve bağlantının meşru görünmesine izin veriyor.
Araç, saldırganların düz metin kimlik bilgilerini veya NTLM karmalarını günlüğe kaydetmesine, pano verilerini çalmasına, aktarılan dosyaları çalmasına, arka planda paylaşılan sürücülerden veri çalmasına ve yeni bağlantılarda konsol veya powershell komutlarını çalıştırmasına olanak tanır.
Araştırmacılar, bu tekniğin ilk olarak 2022'de APT29'un taktiklerine ilham vermiş olabilecek Mike Felch tarafından tanımlandığını açıklıyor.
"Bağlantıyı kurduktan sonra, Rogue Server, meşru bir RDP sunucusunun davranışını taklit eder ve çeşitli kötü amaçlı etkinlikler gerçekleştirmesi için oturumu kullanır."
"Birincil saldırı vektörü, saldırganın kötü amaçlı komut dosyaları dağıtmasını veya kurbanın makinesinde sistem ayarlarını değiştirmeyi içerir."
"Ayrıca, Pyrdp Proxy, mağdurun dosya sistemine erişimi kolaylaştırır, bu da saldırganın dizinlere göz atmasını, dosyaları okumasını veya değiştirmesini ve kötü amaçlı yükler enjekte etmesini sağlar.
Mikro analiz edilen kötü amaçlı yapılandırma trendleri arasında, kullanıcıya yanıltıcı bir AWS güvenli depolama bağlantısı stabilite testi bağlantısı isteği ile hizmet veren bir tane de vardır.
APT29'un kaçırma ile ilgili olarak, araştırmacılar Rus hackerların Rogue RDP sunucularının IP adreslerini gizlemek için kripto para ödemelerini, TOR çıkış düğümlerini ve konut proxy hizmetlerini kabul eden ticari VPN ürünlerinin bir kombinasyonunu kullandıklarını bildiriyor.
Rogue RDP yapılandırmalarına karşı savunmak, bu durumda kampanyanın lansmanından önce tehlikeye atılan meşru adreslerden gönderilen kötü amaçlı e -postalara iyi bir yanıt gerektirir.
Daha da önemlisi, Windows kullanıcıları yalnızca bilinen, güvenilir sunucularla RDP bağlantıları yapmalı ve asla e -posta ekleri aracılığıyla gönderilen RDP bağlantılarını kullanmalıdır.
Amazon, verileri çalmak için Rogue Uzak Masaüstü Kampanyasında kullanılan alanları ele geçirir
Kaydedilen Gelecek CEO'su Rusya tarafından "istenmeyen" atamaları alkışladı
Rus siber yeni casus yazılımlarla Android kullanıcılarını hedeflemek
Rusya, Viber'i En son Sansürle Sansürle Bloklar
Rus siber casusları Ukrayna'yı hedeflemek için diğer bilgisayar korsanlarının arkasına saklanıyor
Kaynak: Bleeping Computer