O grupo russo de hackers conhecido como APT29 (também chamado de "Midnight Blizzard") está utilizando uma rede de 193 servidores proxy do protocolo de desktop remoto (Remote Desktop Protocol - RDP) para realizar ataques man-in-the-middle (MiTM) com o objetivo de roubar dados e credenciais e instalar payloads maliciosas.
Os ataques MiTM utilizam a ferramenta proxy PyRDP, voltada para equipes de red team, para escanear os sistemas de arquivos das vítimas, roubar dados de forma oculta e executar remotamente aplicações maliciosas no ambiente comprometido.
A Trend Micro, que monitora os atores de ameaças sob o nome 'Earth Koshchei', relata que essa campanha visa organizações governamentais e militares, entidades diplomáticas, provedores de serviços de TI e nuvem, além de empresas de telecomunicações e cibersegurança.
Os nomes de domínio registrados para a campanha sugerem que o APT29 mirou principalmente entidades nos EUA, França, Austrália, Ucrânia, Portugal, Alemanha, Israel, França, Grécia, Turquia e Países Baixos.
O Remote Desktop Protocol (RDP) é um protocolo proprietário desenvolvido pela Microsoft que permite aos usuários acessar e controlar remotamente outro computador através de uma rede.
É comumente usado para administração remota, suporte técnico e conexão a sistemas em ambientes corporativos.
Em outubro de 2024, a Amazon e a CERT-UA publicaram relatórios confirmando que o APT29 está enganando vítimas para se conectarem a servidores RDP fraudulentos após executarem um arquivo anexado a e-mails de phishing.
Uma vez estabelecida a conexão, recursos locais, incluindo discos, redes, impressoras, área de transferência, dispositivos de áudio e portas COM, são compartilhados com o servidor RDP controlado pelo atacante, permitindo a eles acesso incondicional a informações sensíveis.
O relatório mais recente da Trend Micro revela mais detalhes sobre essa atividade após identificar 193 servidores proxy RDP que redirecionavam conexões para 34 servidores de back-end controlados pelos atacantes, permitindo que os atacantes monitorassem e interceptassem sessões RDP.
Os hackers usam uma ferramenta Python para ataques man-in-the-middle de red team chamada PyRDP para interceptar toda comunicação entre a vítima e a sessão remota, permitindo que a conexão pareça legítima.
A ferramenta permite aos atacantes registrar credenciais em texto simples ou hashes NTLM, roubar dados da área de transferência, roubar arquivos transferidos, roubar dados de drives compartilhados de forma oculta e executar comandos de console ou PowerShell em novas conexões.
Os pesquisadores explicam que essa técnica foi descrita pela primeira vez por Mike Felch em 2022, que pode ter inspirado as táticas do APT29.
"Ao estabelecer a conexão, o servidor fraudulento imita o comportamento de um servidor RDP legítimo e explora a sessão para realizar diversas atividades maliciosas", explica a Trend Micro.
Um vetor de ataque primário envolve o atacante implantando scripts maliciosos ou alterando configurações do sistema na máquina da vítima.
Além disso, o proxy PyRDP facilita o acesso ao sistema de arquivos da vítima, permitindo ao atacante navegar por diretórios, ler ou modificar arquivos e injetar payloads maliciosas.
Entre as configurações maliciosas analisadas pela Trend Micro, há também uma que apresenta ao usuário um pedido de conexão enganoso de Teste de Estabilidade de Conexão de Armazenamento Seguro AWS.
Em relação à evasão do APT29, os pesquisadores relatam que os hackers russos usam uma combinação de produtos comerciais de VPN que aceitam pagamentos em criptomoeda, nós de saída TOR e serviços de proxy residenciais para ocultar os endereços IP dos servidores RDP fraudulentos.
Defender-se contra configurações RDP fraudulentas requer uma boa resposta a e-mails maliciosos, que, neste caso, foram enviados de endereços legítimos comprometidos antes do lançamento da campanha.
Ainda mais importante, usuários do Windows devem realizar conexões RDP apenas com servidores conhecidos e confiáveis e nunca utilizar conexões RDP enviadas via anexos de e-mail.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...