https://cert.gov.ua/article/6281076
一场针对乌克兰以及其他国家的政府机构、工业企业和军事单位的新型复杂网络钓鱼活动被发现。
乌克兰计算机应急响应小组 (CERT-UA) 于 2024 年 10 月 22 日发出警报,警告包含武器化远程桌面协议 (RDP)配置文件的恶意电子邮件大量传播。
这些网络钓鱼电子邮件伪装成有关整合亚马逊和微软服务以及实施零信任架构 (ZTA)的通信,其中包含附加的 .rdp 文件。
打开后,这些文件会与攻击者的服务器建立传出 RDP 连接,从而授予受害者计算机资源的广泛访问权限。
据CERT-UA 称,恶意 RDP 连接不仅可以访问本地磁盘、网络资源、打印机和其他设备,还可以为在受感染系统上执行未经授权的程序或脚本创造条件。
这种级别的访问对受影响的组织构成了严重的安全风险。
此次活动的范围似乎超出了乌克兰,其他国家的安全组织也报告了类似的活动。
对相关域名的分析表明,这些网络攻击的准备早在 2024 年 8 月就开始了,表明这是一次精心策划且可能长期的行动。
为了减轻威胁,CERT-UA 建议采取以下几种技术措施:
-
在电子邮件网关处阻止 .rdp 文件 -
阻止用户执行 .rdp 文件(有必要的例外) -
配置防火墙以限制 mstsc.exe 发起的到互联网资源的 RDP 连接 -
实施组策略以禁止通过 RDP 重定向资源
建议安全团队检查网络日志,查看与此活动已识别的 IP 地址和域名的交互。
此外,CERT-UA 建议分析本月端口 3389/TCP 上的所有传出网络连接,以识别潜在的危害。
此次攻击凸显了与 RDP 相关的持续风险,网络犯罪分子越来越多地利用该协议,尤其是自远程工作兴起以来。
敦促各组织审查其远程访问政策,并实施强有力的安全措施,以防止此类复杂的网络钓鱼攻击。
随着威胁形势的不断演变,网络安全专家强调用户教育、强大的电子邮件过滤和全面的网络监控对于防御此类攻击的重要性。
原文始发于微信公众号(独眼情报):黑客利用武器化的 RDP 安装文件攻击 Windows 服务器
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论