- 14,589
- 22
- 8 Ноя 2022
Когда ваш рабочий стол — уже не ваше личное пространство.
Хакерская группа APT29 (Midnight Blizzard) организовала масштабную кампанию с использованием 193 прокси-серверов для атак типа «человек посередине» (MiTM) через протокол удалённого рабочего стола ( RDP ). Целью атак являются похищение данных, учетных записей и установка вредоносного ПО.
Для выполнения MiTM-атак используется Red Team -инструмент Для просмотра ссылки Войдиили Зарегистрируйся который позволяет сканировать файловые системы жертв, извлекать данные в фоновом режиме и удалённо запускать вредоносные приложения в скомпрометированной среде.
Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся действия группы под названием «Earth Koshchei» и сообщает, что атаки направлены на правительственные и военные организации, дипломатические миссии, IT-компании, провайдеров облачных услуг, телекоммуникационные и ИБ-компании. Целями кампании стали организации в США, Франции, Австралии, Украине, Португалии, Германии, Израиле, Греции, Турции и Нидерландах.
Метод атаки заключается в обмане пользователей для подключения к поддельным RDP-серверам, создаваемым после запуска файла, полученного через фишинговые письма. После установки соединения ресурсы локальной системы – диски, сети, буфер обмена, принтеры и устройства ввода-вывода – становятся доступными злоумышленникам.
В отчёте Trend Micro раскрываются детали работы инфраструктуры, включающей 193 прокси-сервера RDP, которые перенаправляют соединения на 34 сервера, контролируемых атакующими. Это позволяет хакерам перехватывать сеансы RDP с помощью PyRDP. Киберпреступники могут записывать учетные данные в открытом виде или в виде NTLM-хэшей, похищать данные из буфера обмена и файловых систем, а также запускать команды через консоль или PowerShell.
Эксперты отмечают, что техника Для просмотра ссылки Войдиили Зарегистрируйся в 2022 году Майком Фелчем, что могло вдохновить APT29 на её использование. После установления соединения поддельный сервер имитирует поведение легитимного RDP-сервера, позволяя атакующим внедрять вредоносные скрипты, изменять настройки системы и манипулировать файловой системой жертвы.
Среди вредоносных конфигураций есть одна, которая отправляет пользователю поддельный запрос на подключение к AWS Secure Storage Stability Test, что создаёт впечатление легитимного процесса и вводит пользователя в заблуждение.
Ложный запрос на подключение (Trend Micro)
Для маскировки атак злоумышленники применяют коммерческие VPN-сервисы с оплатой в криптовалюте, узлы выхода TOR и услуги прокси с использованием IP-адресов других пользователей. Такие меры усложняют отслеживание реальных IP-адресов вредоносных серверов.
Эксперты подчеркивают, что предотвращение атак требует повышения внимания к фишинговым письмам, отправленным с ранее скомпрометированных легитимных адресов. Рекомендуется использовать соединения RDP только с проверенными серверами и избегать запусков приложений, полученных по электронной почте.
Хакерская группа APT29 (Midnight Blizzard) организовала масштабную кампанию с использованием 193 прокси-серверов для атак типа «человек посередине» (MiTM) через протокол удалённого рабочего стола ( RDP ). Целью атак являются похищение данных, учетных записей и установка вредоносного ПО.
Для выполнения MiTM-атак используется Red Team -инструмент Для просмотра ссылки Войди
Trend Micro Для просмотра ссылки Войди
Метод атаки заключается в обмане пользователей для подключения к поддельным RDP-серверам, создаваемым после запуска файла, полученного через фишинговые письма. После установки соединения ресурсы локальной системы – диски, сети, буфер обмена, принтеры и устройства ввода-вывода – становятся доступными злоумышленникам.
В отчёте Trend Micro раскрываются детали работы инфраструктуры, включающей 193 прокси-сервера RDP, которые перенаправляют соединения на 34 сервера, контролируемых атакующими. Это позволяет хакерам перехватывать сеансы RDP с помощью PyRDP. Киберпреступники могут записывать учетные данные в открытом виде или в виде NTLM-хэшей, похищать данные из буфера обмена и файловых систем, а также запускать команды через консоль или PowerShell.
Эксперты отмечают, что техника Для просмотра ссылки Войди
Среди вредоносных конфигураций есть одна, которая отправляет пользователю поддельный запрос на подключение к AWS Secure Storage Stability Test, что создаёт впечатление легитимного процесса и вводит пользователя в заблуждение.
Ложный запрос на подключение (Trend Micro)
Для маскировки атак злоумышленники применяют коммерческие VPN-сервисы с оплатой в криптовалюте, узлы выхода TOR и услуги прокси с использованием IP-адресов других пользователей. Такие меры усложняют отслеживание реальных IP-адресов вредоносных серверов.
Эксперты подчеркивают, что предотвращение атак требует повышения внимания к фишинговым письмам, отправленным с ранее скомпрометированных легитимных адресов. Рекомендуется использовать соединения RDP только с проверенными серверами и избегать запусков приложений, полученных по электронной почте.
- Источник новости
- www.securitylab.ru
