Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Casusluk kampanyası esas olarak Avrupa örgütlerini hedef aldı
Akhabokan Akan (Athokan_akhsha) •
8 Nisan 2025
Bir Rus ulus devlet tehdit oyuncusu, Avrupa organizasyonlarını casusluk için hedeflemek için Microsoft Windows uzak masaüstü protokolünün “daha az bilinen” özelliklerini kullandı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Google Tehdit İstihbarat Grubu Pazartesi günü, UNC5837’nin kurban sürücülerini okumak, dosyaları çalmak ve pano verilerini yakalamak için bir Rus ulus devlet grubunun izlediğini söyledi.
Google, kampanyadaki bir güncellemede, ilk olarak Ekim 2024’te açıklanan kampanyadaki bir güncellemede, “Etkileşimli oturumlara odaklanan tipik RDP saldırılarının aksine, bu kampanya kaynak yeniden yönlendirmesini yaratıcı bir şekilde kullandı.
Kampanya, kötü niyetli bir uygulamayı dağıtmak ve mağdurlardan verilere erişmek için RDP kullanarak iki “daha az bilinen” RDP özelliği kullandı. Google, bilgisayar korsanlarının çoğunlukla Avrupa hükümetini ve askeri kuruluşları hedef aldığını söyledi.
Saldırılar, bilgisayar korsanlarının Amazon, Microsoft, Ukrayna Devleti Güvenli İletişim ve Bilgi Güvenliği Ajansı ile ilgili projelere kimlik kazanma e -postaları göndermesiyle başladı.
Google, “E -posta, açıklanan proje ile ilgili bir uygulama olduğunu iddia eden imzalı bir .rdp dosya eki içeriyordu.” Dedi.
Mağdurlar dosyayı yürüttüğünde, enfekte edilmiş makinelerden bilgisayar korsanlarının komut ve kontrol sunucularına RDP bağlantıları kuruldu. Google, .rdp dosyasının saldırganların algılamadan kaçmasına yardımcı olan bir web sertifikasıyla imzalandığını söyledi.
Saldırıların bir sonraki aşamasında, bilgisayar korsanları enfekte olmuş cihazlarda AWS güvenli depolama bağlantısı denge testi olarak gizlenmiş kötü amaçlı bir uygulama kullandı. Google, uygulamanın kesin amacı hakkında belirsizdir, ancak hackerlar tarafından kimlik avı için kullanıldığını veya kurbanları dosyayı etkinleştirmek için kandırmak için kullanıldığını söyledi.
Etkinleştirildikten sonra, bilgisayar korsanları kurban cihazlarına okuma ve yazma özellikleri elde ederek bilgisayar korsanlarının dosyaları çalmasına ve pano verilerini yakalamasına izin verdiler. Google, bilgisayar korsanlarının otomasyon özellikleri için, potansiyel olarak karma şifreleri çalmak için açık kaynaklı bir RDP proxy aracı olan Pyrdp kullanmış olabileceğini tahmin ediyor.
Google, “Bu kampanya, eğitim amaçlı amaçlanan kırmızı takım araçlarının ne kadar kolay mevcut aktörler tarafından zararlı niyetleri olan kötü niyetli aktörler tarafından nasıl silahlandırıldığını bir kez daha vurguluyor.”
Bir RDP kullanarak daha fazla saldırıyı önlemek için Google, Windows cihazlarındaki dosya okuma etkinliğini sınırlandırmayı, giden RDP trafiğini ağ düzeyinde genel IP adresleriyle engellemeyi ve e -posta eklerindeki .rdp dosya uzantılarını engellemenizi önerir.