Οι Ρώσοι hackers APT29 πραγματοποιούν κυβερνοεπιθέσεις, αξιοποιώντας κακόβουλα Remote Desktop Protocol (RDP) configuration files.
Η Trend Micro λέει ότι αυτές οι νέες επιθέσεις έχουν στοχεύσει κυβερνήσεις και ένοπλες δυνάμεις, think tanks, ακαδημαϊκούς ερευνητές και ουκρανικές οντότητες, και υιοθετούν μια “rogue RDP” τεχνική, που είχε προηγουμένως τεκμηριωθεί από την Black Hills Information Security.
“Το θύμα αυτής της τεχνικής δίνει μερικό έλεγχο του μηχανήματος στον εισβολέα, οδηγώντας ενδεχομένως σε διαρροή δεδομένων και εγκατάσταση κακόβουλου λογισμικού“, δήλωσαν οι ερευνητές Feike Hacquebord και Stephen Hilt.
Η εταιρεία παρακολουθεί τους Ρώσους hackers APT29 ως Earth Koshchei και παρατήρησε ότι οι προετοιμασίες για την εκστρατεία ξεκίνησαν στις 7-8 Αυγούστου 2024. Οι καμπάνιες RDP επισημάνθηκαν, επίσης, τον Οκτώβριο από το Computer Emergency Response Team της Ουκρανίας (CERT-UA), τη Microsoft και την Amazon Web Services (AWS).
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Most Innovative Robots of CES 2025
Δείτε επίσης: Ρώσοι hackers εκμεταλλεύονται ευπάθεια στο NTLM για τη διάδοση RAT Malware μέσω Phishing emails
Οι επιθέσεις ξεκινούν με spear-phishing emails που προσπαθούν να εξαπατήσουν τους παραλήπτες, ώστε να ενεργοποιήσουν ένα κακόβουλο RDP configuration file που είναι συνημμένο στο μήνυμα. Αυτό έχει ως αποτέλεσμα τη σύνδεση του μηχανήματος του θύματος με έναν ξένο διακομιστή RDP μέσω ενός από τα 193 RDP relays της ομάδας. Υπολογίζεται ότι 200 θύματα υψηλού προφίλ στοχοποιήθηκαν σε μία μόνο ημέρα.
Η μέθοδος επίθεσης που περιγράφεται από τη Black Hill συνεπάγεται τη χρήση ενός open-source project που ονομάζεται PyRDP. Περιγράφεται ως “Monster-in-the-Middle (MitM) εργαλείο και βιβλιοθήκη” και μπαίνει μπροστά από τον πραγματικό RDP server που ελέγχεται από τους hackers APT29. Στόχος είναι η ελαχιστοποίηση του κινδύνου ανίχνευσης.
Έτσι, όταν ένα θύμα ανοίγει το αρχείο RDP (με την κωδική ονομασία HUSTLECON) από το phishing email, ξεκινά μια εξερχόμενη σύνδεση RDP στο PyRDP relay, η οποία στη συνέχεια ανακατευθύνει το session σε έναν κακόβουλο διακομιστή.
Δείτε επίσης: Οι Ρώσοι hackers UNC5812 στοχεύουν Ουκρανούς στρατιώτες με malware
“Με τη δημιουργία της σύνδεσης, ο κακόβουλος διακομιστής μιμείται τη συμπεριφορά ενός νόμιμου διακομιστή RDP και εκμεταλλεύεται το session για να πραγματοποιήσει διάφορες κακόβουλες δραστηριότητες“, είπαν οι ερευνητές. “Συνήθως, ο εισβολέας αναπτύσσει κακόβουλα scripts ή τροποποιεί τις ρυθμίσεις συστήματος στον υπολογιστή του θύματος“.
Επιπλέον, ο PyRDP proxy server επιτρέπει στους Ρώσους hackers APT29 να αποκτήσουν πρόσβαση στα συστήματα του θύματος, να εκτελούν λειτουργίες αρχείων και να εισάγουν κακόβουλα payloads. Η επίθεση κορυφώνεται με τους επιτιθέμενους να αξιοποιούν το παραβιασμένο RDP session για να κλέψουν ευαίσθητα δεδομένα, συμπεριλαμβανομένων των credentials και άλλων πληροφοριών, μέσω του διακομιστή proxy.
Αυτό που είναι αξιοσημείωτο σε αυτήν την επίθεση είναι ότι η συλλογή δεδομένων διευκολύνεται μέσω ενός κακόβουλου configuration file, χωρίς να χρειάζεται κάποιο custom κακόβουλο λογισμικό.
Ένα άλλο βασικό χαρακτηριστικό είναι η χρήση anonymization layers, όπως οι TOR exit nodes για τον έλεγχο των διακομιστών RDP, καθώς και οι residential proxy providers και οι εμπορικές υπηρεσίες VPN για πρόσβαση σε νόμιμους mail servers για την αποστολή των spear-phishing emails.
Δείτε επίσης: Ρώσοι hackers στοχεύουν στρατιωτικές υποδομές της Ουκρανίας
“Εργαλεία όπως το PyRDP ενισχύουν την επίθεση επιτρέποντας την υποκλοπή και τον χειρισμό των συνδέσεων RDP“, πρόσθεσαν οι ερευνητές. “Το PyRDP μπορεί να ανιχνεύσει αυτόματα shared drives που ανακατευθύνονται από το θύμα και να αποθηκεύσει το περιεχόμενό τους τοπικά στον υπολογιστή του εισβολέα, διευκολύνοντας την απρόσκοπτη εξαγωγή δεδομένων“.
Οι Ρώσοι hackers (APT29 και άλλοι) έχουν γίνει μια σημαντική δύναμη στον κυβερνοχώρο, χρησιμοποιώντας τις δεξιότητές τους τόσο για εγκληματικούς όσο και για πολιτικούς σκοπούς. Καθώς η τεχνολογία συνεχίζει να προοδεύει, είναι πιθανό ότι αυτοί οι hackers θα συνεχίσουν να προσαρμόζουν και να εξελίσσουν τις τακτικές τους για πιο αποτελεσματικές επιθέσεις. Αυτό σημαίνει ότι θα συνεχίσουν να αποτελούν μια σημαντική πρόκληση για τις κυβερνήσεις και τους οργανισμούς.
Οι προειδοποιήσεις και οι προσπάθειες για την καταπολέμηση του ρωσικού hacking υπογραμμίζουν την ανάγκη για διεθνή συνεργασία και καινοτομία στο συνεχώς μεταβαλλόμενο τοπίο της κυβερνοασφάλειας. Επομένως, είναι σημαντικό τόσο τα άτομα όσο και οι οργανισμοί να παραμείνουν σε εγρήγορση και να ενημερώνουν συνεχώς τα μέτρα ασφαλείας τους για να προστατεύονται από πιθανές επιθέσεις. Με αυξημένη ευαισθητοποίηση και συνεργασία, μπορούμε να εργαστούμε για τον μετριασμό του αντίκτυπου των Ρώσων hackers στην παγκόσμια ασφάλεια στον κυβερνοχώρο.
Πηγή: thehackernews.com