Rusya bağlantılı APT29 tehdit aktörünün, kötü amaçlı Uzak Masaüstü Protokolü (RDP) yapılandırma dosyalarından yararlanan siber saldırıların bir parçası olarak meşru bir kırmızı ekip saldırı yöntemini yeniden kullandığı gözlemlendi.
Trend Micro’nun bir raporunda, hükümetleri ve silahlı kuvvetleri, düşünce kuruluşlarını, akademik araştırmacıları ve Ukraynalı kuruluşları hedef alan faaliyetin, daha önce Black Hills Bilgi Güvenliği tarafından 2022’de belgelenen “haydut RDP” tekniğinin benimsenmesini gerektirdiği belirtildi.
Araştırmacılar Feike Hacquebord ve Stephen Hilt, “Bu tekniğin kurbanı, makinesinin kısmi kontrolünü saldırgana verecek ve potansiyel olarak veri sızıntısına ve kötü amaçlı yazılım kurulumuna yol açacaktır” dedi.
Siber güvenlik şirketi, tehdit grubunu kendi takma adı olan Earth Koshchei altında takip ediyor ve kampanya için hazırlıkların 7-8 Ağustos 2024 gibi erken bir tarihte başladığını belirtiyor. RDP kampanyaları aynı zamanda Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından da mercek altına alındı. , Microsoft ve Amazon Web Services (AWS) Ekim ayında geri döndü.
Hedef odaklı kimlik avı e-postaları, alıcıları, mesaja eklenen kötü amaçlı bir RDP yapılandırma dosyasını başlatmaları için kandırmak ve makinelerinin, grubun 193 RDP aktarıcısından biri aracılığıyla yabancı bir RDP sunucusuna bağlanmasına neden olmak üzere tasarlandı. Tek bir günde tahminen 200 yüksek profilli kurban hedef alındı, bu da kampanyanın ölçeğini gösteriyor.
Black Hill tarafından özetlenen saldırı yöntemi, gerçek düşman kontrollü RDP’nin önünde, Python tabanlı “Ortadaki Canavar (MitM) aracı ve kütüphanesi” olarak tanımlanan PyRDP adlı açık kaynaklı bir projenin kullanılmasını gerektirir. Tespit riskini en aza indirmek için sunucu.
Bu nedenle, bir kurban, HUSTLECON kod adlı RDP dosyasını e-posta mesajından açtığında, PyRDP aktarıcısına giden bir RDP bağlantısı başlatır ve bu bağlantı daha sonra oturumu kötü amaçlı bir sunucuya yönlendirir.
Araştırmacılar, “Bağlantı kurulduğunda, hileli sunucu meşru bir RDP sunucusunun davranışını taklit ediyor ve oturumu çeşitli kötü amaçlı faaliyetler gerçekleştirmek için kullanıyor” dedi. “Birincil saldırı vektörü, saldırganın kötü amaçlı komut dosyaları dağıtmasını veya kurbanın makinesindeki sistem ayarlarını değiştirmesini içerir.”
Üstelik PyRDP proxy sunucusu, saldırganın kurbanın sistemlerine erişmesine, dosya işlemleri gerçekleştirmesine ve kötü amaçlı veriler eklemesine olanak tanır. Saldırı, tehdit aktörünün, proxy aracılığıyla kimlik bilgileri ve diğer özel bilgiler de dahil olmak üzere hassas verileri sızdırmak için ele geçirilen RDP oturumunu kullanmasıyla sonuçlanır.
Bu saldırıda dikkate değer olan şey, herhangi bir özel kötü amaçlı yazılımın konuşlandırılmasına gerek kalmadan kötü amaçlı bir yapılandırma dosyası aracılığıyla veri toplamanın kolaylaştırılması ve böylece tehdit aktörlerinin radarın altından geçmesine olanak sağlamasıdır.
Bahsetmeyi hak eden bir diğer özellik, RDP sunucularını kontrol etmek için TOR çıkış düğümleri gibi anonimleştirme katmanlarının kullanılmasının yanı sıra, hedef odaklı kimlik avı e-postalarını göndermek için kullanılan meşru posta sunucularına erişmek için yerleşik proxy sağlayıcıları ve ticari VPN hizmetlerinin kullanılmasıdır.
Araştırmacılar, “PyRDP gibi araçlar, RDP bağlantılarının ele geçirilmesini ve değiştirilmesini sağlayarak saldırıyı güçlendiriyor” diye ekledi. “PyRDP, kurban tarafından yönlendirilen paylaşılan sürücüleri otomatik olarak tarayabilir ve içeriklerini yerel olarak saldırganın makinesine kaydederek kesintisiz veri sızdırmayı kolaylaştırabilir.”
“Earth Koshchei, casusluk kampanyaları için zaman içinde yeni metodolojiler kullanıyor. Yalnızca ilk erişim elde etmelerine yardımcı olan eski ve yeni güvenlik açıklarına çok dikkat etmiyorlar, aynı zamanda kırmızı ekiplerin geliştirdiği metodolojilere ve araçlara da bakıyorlar.”