O grupo de ameaça APT29, vinculado à Rússia, foi observado reaproveitando uma legítima metodologia de ataques de red teaming como parte de ataques cibernéticos que utilizam arquivos de configuração do Remote Desktop Protocol (RDP) maliciosos.
A atividade, que tem como alvos governos e forças armadas, think tanks, pesquisadores acadêmicos e entidades ucranianas, envolve a adoção de uma técnica de "RDP rogue" que foi previamente documentada pela Black Hills Information Security em 2022, disse a Trend Micro em um relatório.
"Uma vítima dessa técnica daria controle parcial de sua máquina ao atacante, podendo levar ao vazamento de dados e à instalação de malware", disseram os pesquisadores Feike Hacquebord e Stephen Hilt.
A empresa de cibersegurança está rastreando o grupo de ameaças sob seu próprio codinome Earth Koshchei, declarando que os preparativos para a campanha começaram tão cedo quanto 7 a 8 de agosto de 2024.
As campanhas RDP também foram destacadas pelo Computer Emergency Response Team da Ucrânia (CERT-UA), Microsoft e Amazon Web Services (AWS) em outubro.
Os e-mails de spear-phishing foram projetados para enganar os destinatários a lançar um arquivo de configuração RDP malicioso anexado à mensagem, fazendo com que suas máquinas se conectassem a um servidor RDP estrangeiro por meio de um dos 193 relays RDP do grupo.
Em um único dia, uma estimativa de 200 vítimas de alto perfil foram alvo, indicando a escala da campanha.
O método de ataque delineado pela Black Hill envolve o uso de um projeto open-source chamado PyRDP – descrito como uma ferramenta e biblioteca "Monster-in-the-Middle (MitM)" baseada em Python – à frente do servidor RDP controlado pelo adversário para minimizar o risco de detecção.
Assim, quando uma vítima abre o arquivo RDP, codinome HUSTLECON, a partir da mensagem de e-mail, ele inicia uma conexão RDP de saída para o relay PyRDP, que então redireciona a sessão para um servidor malicioso.
"Ao estabelecer a conexão, o servidor rogue imita o comportamento de um servidor RDP legítimo e explora a sessão para realizar várias atividades maliciosas", disseram os pesquisadores.
Um vetor de ataque primário envolve o atacante implantando scripts maliciosos ou alterando as configurações do sistema na máquina da vítima. Além disso, o servidor proxy PyRDP permite ao atacante acessar os sistemas da vítima, realizar operações de arquivo e injetar payloads maliciosos.
O ataque culmina com o ator de ameaça aproveitando a sessão RDP comprometida para exfiltrar dados sensíveis, incluindo credenciais e outras informações proprietárias, via proxy.
O que é notável sobre esse ataque é que a coleta de dados é facilitada por meio de um arquivo de configuração malicioso sem a necessidade de implantar qualquer malware personalizado, permitindo assim que os atores de ameaça passem despercebidos.
Outra característica que merece menção é o uso de camadas de anonimização como nodes de saída do TOR para controlar os servidores RDP, bem como provedores de proxy residenciais e serviços de VPN comerciais para acessar servidores de e-mail legítimos que foram empregados para enviar os e-mails de spear-phishing.
"Ferramentas como o PyRDP aprimoram o ataque ao possibilitar a interceptação e manipulação de conexões RDP", acrescentaram os pesquisadores.
O PyRDP pode automaticamente rastrear unidades compartilhadas redirecionadas pela vítima e salvar seus conteúdos localmente na máquina do atacante, facilitando a exfiltração de dados sem empecilhos. O Earth Koshchei utiliza metodologias novas ao longo do tempo para suas campanhas de espionagem.
Eles não apenas prestam muita atenção em vulnerabilidades antigas e novas que os ajudam a obter acesso inicial, mas também analisam as metodologias e ferramentas que os red teams desenvolvem.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...