Rusya bağlantılı APT29 tehdit aktörünün, kötü amaçlı Uzak Masaüstü Protokolü (RDP) yapılandırma dosyalarından yararlanan siber saldırıların bir parçası olarak meşru bir kırmızı ekip saldırı yöntemini yeniden kullandığı gözlemlendi.
Hükümetleri, silahlı kuvvetleri, düşünce kuruluşlarını, akademik araştırmacıları ve Ukraynalı kuruluşları hedef alan bu faaliyet, “haydut RDP” tekniğinin benimsenmesini gerektiriyor. önceden belgelenmiş Trend Micro bir raporda Black Hills Bilgi Güvenliği tarafından 2022’de sağlanacağını belirtti.
Araştırmacılar Feike Hacquebord ve Stephen Hilt, “Bu tekniğin kurbanı, makinesinin kısmi kontrolünü saldırgana verecek ve potansiyel olarak veri sızıntısına ve kötü amaçlı yazılım kurulumuna yol açacaktır.” söz konusu.
Siber güvenlik şirketi, tehdit grubunu kendi takma adı olan Earth Koshchei altında takip ediyor ve kampanya için hazırlıkların 7-8 Ağustos 2024 gibi erken bir tarihte başladığını belirtiyor. RDP kampanyaları aynı zamanda Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından da mercek altına alındı. , Microsoft ve Amazon Web Services (AWS) Ekim ayında geri döndü.
Hedef odaklı kimlik avı e-postaları, alıcıları, mesaja eklenen kötü amaçlı bir RDP yapılandırma dosyasını başlatmaları için kandırmak ve makinelerinin, grubun 193 RDP aktarıcısından biri aracılığıyla yabancı bir RDP sunucusuna bağlanmasına neden olmak üzere tasarlandı. Tek bir günde tahminen 200 yüksek profilli kurban hedef alındı, bu da kampanyanın ölçeğini gösteriyor.
Black Hill tarafından özetlenen saldırı yöntemi, adı verilen açık kaynaklı bir projenin kullanılmasını gerektirir. PyRDP – Python tabanlı bir “Ortadaki Canavar (MitM) aracı ve kitaplığı” olarak tanımlanır – tespit riskini en aza indirmek için gerçek düşman kontrollü RDP sunucusunun önünde.
Böylece, bir kurban HUSTLECON kod adlı RDP dosyasını e-posta mesajından açtığında PyRDP aktarıcısına giden bir RDP bağlantısı başlatır ve bu bağlantı daha sonra oturumu kötü amaçlı bir sunucuya yönlendirir.
Araştırmacılar, “Bağlantı kurulduğunda, hileli sunucu meşru bir RDP sunucusunun davranışını taklit ediyor ve oturumu çeşitli kötü amaçlı faaliyetler gerçekleştirmek için kullanıyor” dedi. “Birincil saldırı vektörü, saldırganın kötü amaçlı komut dosyaları dağıtmasını veya kurbanın makinesindeki sistem ayarlarını değiştirmesini içerir.”
Üstelik PyRDP proxy sunucusu, saldırganın kurbanın sistemlerine erişmesine, dosya işlemleri gerçekleştirmesine ve kötü amaçlı veriler eklemesine olanak tanır. Saldırı, tehdit aktörünün, proxy aracılığıyla kimlik bilgileri ve diğer özel bilgiler de dahil olmak üzere hassas verileri sızdırmak için ele geçirilen RDP oturumunu kullanmasıyla sonuçlanır.
Bu saldırıda dikkate değer olan şey, herhangi bir özel kötü amaçlı yazılımın konuşlandırılmasına gerek kalmadan kötü amaçlı bir yapılandırma dosyası aracılığıyla veri toplamanın kolaylaştırılması ve böylece tehdit aktörlerinin radarın altından geçmesine olanak sağlamasıdır.
Bahsetmeyi hak eden bir diğer özellik, RDP sunucularını kontrol etmek için TOR çıkış düğümleri gibi anonimleştirme katmanlarının kullanılmasının yanı sıra, hedef odaklı kimlik avı e-postalarını göndermek için kullanılan meşru posta sunucularına erişmek için yerleşik proxy sağlayıcıları ve ticari VPN hizmetlerinin kullanılmasıdır.
Araştırmacılar, “PyRDP gibi araçlar, RDP bağlantılarının ele geçirilmesini ve değiştirilmesini sağlayarak saldırıyı güçlendiriyor” diye ekledi. “PyRDP, kurban tarafından yönlendirilen paylaşılan sürücüleri otomatik olarak tarayabilir ve içeriklerini yerel olarak saldırganın makinesine kaydederek kesintisiz veri sızdırmayı kolaylaştırabilir.”
“Earth Koshchei, casusluk kampanyaları için zaman içinde yeni metodolojiler kullanıyor. Yalnızca ilk erişim elde etmelerine yardımcı olan eski ve yeni güvenlik açıklarına çok dikkat etmiyorlar, aynı zamanda kırmızı ekiplerin geliştirdiği metodolojilere ve araçlara da bakıyorlar.”
