Tehdit aktörü Earth Koshchei’nin (APT29 ve Midnight Blizzard olarak da bilinir) dünya çapındaki devlet kurumlarını, askeri kuruluşları ve akademik araştırmacıları hedef aldığı, Uzak Masaüstü Protokolü (RDP) sunucularından yararlanmak için kırmızı ekip araçlarından yararlanan karmaşık bir siber casusluk kampanyası ortaya çıkarıldı.
22 Ekim 2024’te zirveye ulaşan kampanya, kötü amaçlı RDP yapılandırma dosyalarının hedef odaklı kimlik avı e-postaları aracılığıyla yüksek profilli hedeflere dağıtılmasını içeriyordu.
Saldırganlar, operasyonlarını kolaylaştırmak için 193 RDP geçiş alanı ve 34 sahte RDP arka uç sunucusundan oluşan kapsamlı bir altyapı kurdu.
Earth Koshchei, Ağustos ve Ekim 2024 arasında 200’den fazla alan adını kaydettirerek önemli bir hazırlık gösterdi. Grup özellikle askeri birimler, düşünce kuruluşları ve akademik kurumlar dahil olmak üzere devlet kurumlarıyla bağlantısı olan kuruluşları hedef aldı.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
İlk olarak Black Hills Information Security tarafından 2022’de belgelenen saldırı metodolojisi üç temel bileşeni içeriyor: bir RDP geçişi, sahte bir RDP sunucusu ve kötü amaçlı bir RDP yapılandırma dosyası.
Kurbanlar kötü amaçlı yapılandırma dosyasını açtığında, makineleri saldırganın sunucularına bağlanmaya çalışır ve bu da potansiyel olarak veri sızıntısına ve kötü amaçlı yazılım yüklenmesine yol açar.
Tehdit aktörleri, gizliliği artırmak ve ilişkilendirmeyi karmaşık hale getirmek için ticari VPN hizmetleri, TOR ağları ve yerleşik proxy’ler dahil olmak üzere çok sayıda anonimleştirme katmanı kullandı.
PyRDP gibi araçlar, RDP bağlantılarının ele geçirilmesine ve değiştirilmesine izin vererek saldırıyı güçlendirir. PyRDP, kurban tarafından yönlendirilen paylaşılan sürücüler arasında otomatik olarak gezinme ve içeriklerini saldırganın cihazında saklama yeteneğine sahip olup, veri hırsızlığını daha verimli hale getirir.
Trend Micro, “Bu saldırı, PyRDP gibi araçların, veri sızdırmak için yeniden yönlendirilen sürücüleri sistematik olarak taramak gibi kötü amaçlı etkinlikleri nasıl otomatikleştirebileceğini ve geliştirebileceğini gösteriyor” dedi.
Grup, kimlik avı e-postalarını dağıtmak için çeşitli yerleşik proxy sağlayıcıları ve VPN hizmetleri aracılığıyla güvenliği ihlal edilmiş posta sunucularına erişti.
Kanıtlar, Earth Koshchei’nin kitlesel kampanyadan önce daha hedefli operasyonlar gerçekleştirdiğini, 18 ve 21 Ekim tarihleri arasında RDP aktarıcıları aracılığıyla iki askeri kuruluşu ve bir bulut sağlayıcısını etkileyen veri sızıntısının izlerini ortaya koyuyor.
Kampanyanın karmaşıklığı, tehdit aktörlerinin meşru kırmızı ekip araçlarını ve metodolojilerini kötü amaçlarla nasıl yeniden kullanabileceğini göstermesi açısından özellikle dikkat çekicidir.
Özellikle ev ofis ortamlarında veya güvenlik duvarı kurallarını atlamak için standart olmayan bağlantı noktaları kullanıldığında, katı güvenlik önlemlerine sahip kuruluşlar bile bu saldırıya açık olabilir.
Güvenlik uzmanları, kuruluşların güvenilmeyen sunuculara giden RDP bağlantılarını engellemesini ve RDP yapılandırma dosyalarının e-posta yoluyla aktarımını önlemek için önlemler almasını önermektedir.
Kampanya, siber tehditlerin gelişen doğasının ve gelişmiş devlet destekli aktörlere karşı sağlam güvenlik protokollerinin sürdürülmesinin öneminin bir hatırlatıcısı olarak hizmet ediyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin