小百科,大世界
首页 / 计算机 / IT资讯

[5]Earth Koshchei 的流氓 RDP 活动 针对政府和企业的复杂 APT 攻击 繁體

趋势科技公布了威胁组织 Earth Koshchei 开展的大规模流氓远程桌面协议 (RDP) 活动。Earth Koshchei 以间谍活动而闻名,他们利用鱼叉式网络钓鱼电子邮件和恶意 RDP 配置文件来入侵包括政府、军事组织和智囊团在内的高知名度目标。

据描述,该攻击方法涉及 “RDP 中继、恶意 RDP 服务器和恶意 RDP 配置文件”,利用红队技术达到恶意目的。报告称,这种方法使攻击者能够获得受害者机器的部分控制权,导致 “数据泄露和恶意软件安装”。

该活动在 2024 年 10 月 22 日达到顶峰,当时向包括外交和军事实体在内的各种目标发送了数百封鱼叉式网络钓鱼电子邮件。这些电子邮件诱骗收件人打开恶意 RDP 配置文件,将他们的机器连接到地球 Koshchei 的 193 个 RDP 中继站之一。

地球 Koshchei 在 2024 年 8 月至 10 月间注册了 200 多个域名,展示了精心策划的活动。这些域名通常模仿合法的服务或组织,如云提供商和政府实体。此外,该组织还使用 TOR、VPN 和住宅代理等匿名层来掩盖其行动,并使归因复杂化。

该基础设施包括 193 个代理服务器和 34 个流氓 RDP 后端服务器,它们是数据外泄和间谍活动的入口点。

地球 Koshchei 展示了重新利用合法红队工具的敏锐能力。通过采用 2022 年 Black Hills 信息安全博客中描述的技术,攻击者使用 PyRDP 等工具拦截和操纵 RDP 连接。这使他们能够浏览受害者的文件系统、渗出数据,甚至打着 “AWS 安全存储连接稳定性测试 ”等合法程序的幌子运行恶意应用程序。

趋势科技解释说:“PyRDP代理可确保窃取的任何数据或执行的任何命令都会被导回攻击者,而不会引起受害者的警觉。”

该组织的目标受害者多种多样,包括政府、军队、云提供商和学术研究人员。Earth Koshchei(又称 APT29 或 Midnight Blizzard)的典型战术、技术和程序(TTPs)以及受害者研究都支持将此次活动归咎于该组织。

报告指出:“Earth Koshchei 的特点是持续针对外交、军事、能源、电信和 IT 公司。据信,该组织与俄罗斯对外情报局(SVR)有关联。”

为抵御此类攻击,企业应该:

  1. 阻止出站 RDP 连接: 将 RDP 流量限制在受信任的服务器上。
  2. 检测恶意 RDP 文件: 使用能够识别恶意 RDP 配置文件的工具,如趋势科技的 Trojan.Win32.HUSTLECON.A 检测系统。
  3. 加强电子邮件安全: 实施过滤器,防止发送可疑附件,尤其是 RDP 配置文件。
本文翻译自securityonline 原文链接。如若转载请注明出处。
商务合作,文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载,请参考转载声明,注明出处: /post/id/302885

安全客 - 有思想的安全新媒体

[来源: 安全客]

首页 / 计算机 / IT资讯
相关连接:
Prev:
0安全+AI双重认证360斩获ISC.AI 2024创新能力百强10余大奖
1安全+AI双重认证360斩获ISC.AI 2024创新能力百强10余大奖
3罗马尼亚国民因 NetWalker 勒索软件攻击被判处 20 年监禁
Next:
4伪造 Zoom 会议链接导致百万美元加密货币劫案
3白宫批准 HIPAA 安全规则更新
2勒索软件组织攻击药物滥用治疗服务机构
1小米限制 HyperOS Bootloader 解锁每个帐户一台设备
0现代产业学院又添一所360携手校企再创产教融合新佳绩
资源来自网络,仅供参考