Инструменты Red Team стали кошмаром правительств 10 стран

Хакерская группа APT29 (Midnight Blizzard) организовала масштабную кампанию с использованием 193 прокси-серверов для атак типа «человек посередине» (MiTM) через протокол удалённого рабочего стола ( RDP ). Целью атак являются похищение данных, учетных записей и установка вредоносного ПО.

Для выполнения MiTM-атак используется Red Team -инструмент PyRDP, который позволяет сканировать файловые системы жертв, извлекать данные в фоновом режиме и удалённо запускать вредоносные приложения в скомпрометированной среде.

Trend Micro отслеживает действия группы под названием «Earth Koshchei» и сообщает, что атаки направлены на правительственные и военные организации, дипломатические миссии, IT-компании, провайдеров облачных услуг, телекоммуникационные и ИБ-компании. Целями кампании стали организации в США, Франции, Австралии, Украине, Португалии, Германии, Израиле, Греции, Турции и Нидерландах.

Метод атаки заключается в обмане пользователей для подключения к поддельным RDP-серверам, создаваемым после запуска файла, полученного через фишинговые письма. После установки соединения ресурсы локальной системы – диски, сети, буфер обмена, принтеры и устройства ввода-вывода – становятся доступными злоумышленникам.

В отчёте Trend Micro раскрываются детали работы инфраструктуры, включающей 193 прокси-сервера RDP, которые перенаправляют соединения на 34 сервера, контролируемых атакующими. Это позволяет хакерам перехватывать сеансы RDP с помощью PyRDP. Киберпреступники могут записывать учетные данные в открытом виде или в виде NTLM-хэшей, похищать данные из буфера обмена и файловых систем, а также запускать команды через консоль или PowerShell.

Эксперты отмечают, что техника была впервые описана в 2022 году Майком Фелчем, что могло вдохновить APT29 на её использование. После установления соединения поддельный сервер имитирует поведение легитимного RDP-сервера, позволяя атакующим внедрять вредоносные скрипты, изменять настройки системы и манипулировать файловой системой жертвы.

Среди вредоносных конфигураций есть одна, которая отправляет пользователю поддельный запрос на подключение к AWS Secure Storage Stability Test, что создаёт впечатление легитимного процесса и вводит пользователя в заблуждение.

Ложный запрос на подключение (Trend Micro)

Для маскировки атак злоумышленники применяют коммерческие VPN-сервисы с оплатой в криптовалюте, узлы выхода TOR и услуги прокси с использованием IP-адресов других пользователей. Такие меры усложняют отслеживание реальных IP-адресов вредоносных серверов.

Эксперты подчеркивают, что предотвращение атак требует повышения внимания к фишинговым письмам, отправленным с ранее скомпрометированных легитимных адресов. Рекомендуется использовать соединения RDP только с проверенными серверами и избегать запусков приложений, полученных по электронной почте.