大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
10月22日,APT29(又称“Cozy Bear”或“Midnight Blizzard”)利用恶意RDP配置文件,通过鱼叉式网络钓鱼攻击,针对政府、智库、学术研究机构以及乌克兰相关目标发起大规模网络间谍活动。
📌 攻击手法:恶意RDP配置文件的威胁
APT29在此次攻击中采用了一种称为“Rogue RDP”的技术,通过恶意RDP配置文件引导受害者连接到黑客控制的RDP中继服务器。
攻击流程:
1. 发送鱼叉式钓鱼邮件:诱导目标打开附带的.RDP文件。
2. 连接到恶意RDP服务器:通过中间人代理(PyRDP)实现会话劫持,连接到APT29控制的RDP中继服务器。
3. 资源重定向与数据窃取:恶意RDP配置文件重定向本地驱动器、打印机、智能卡和剪贴板,攻击者可远程访问受害者设备中的本地资源。
4. 部署恶意程序:攻击成功后执行远程应用,如伪装成“AWS Secure Storage Connection Stability Test”的恶意脚本。
🌐 攻击目标与影响范围
APT29此次活动集中针对多个高价值目标:
- 政府机构:如澳大利亚和乌克兰相关实体。
- 智库与学术机构:重点针对与外交事务相关的研究者。
- 军队与国防组织:获取战略情报。
此次攻击涉及近200个钓鱼域名,涵盖从8月初注册到10月的多个目标,其中包括欧洲国家和荷兰外交部的关联机构。
🛠 技术亮点与黑客工具
APT29熟练运用红队工具和多层匿名技术:
- 红队技术:攻击中广泛使用PyRDP代理,优化中间人攻击效果,同时利用RogueRDP工具自动生成高仿RDP文件。
- 匿名化措施:黑客通过VPN、TOR节点和住宅代理服务隐藏攻击来源,在全球部署了34个RDP服务器和超过200个虚拟专用服务器(VPS)。
- 攻击自动化:通过工具实现最小化用户交互,降低受害者怀疑和报警的可能性。
📉 攻击后续与潜在威胁
尽管APT29的攻击基础设施在10月22日的大规模行动中被大范围曝光,但专家认为该组织在此之前可能已开展了数次隐秘的数据窃取活动。
> “在大规模鱼叉式攻击之前,APT29可能已经通过RDP中继进行小规模且隐秘的数据渗透。” ——Trend Micro报告
APT29的灵活策略和技术多样性,使其成为网络空间中极具威胁性的对手。即便部分基础设施遭到破坏,该组织依然可能通过调整战术继续发动新一轮攻击。
🔒 安全建议:如何防范RDP攻击?
1. 加强RDP安全策略:限制不必要的RDP访问,使用非标准端口并启用网络级别身份验证(NLA)。
2. 启用多因素认证(MFA):即使攻击者获取了凭据,也无法直接访问目标系统。
3. 定期更新防火墙规则:阻止未授权的RDP连接。
4. 警惕鱼叉式邮件攻击:对员工进行网络钓鱼意识培训,减少恶意文件被执行的可能性。
5. 部署行为监控系统:通过分析异常网络行为及时发现潜在威胁。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):APT29新型RDP攻击曝光:俄罗斯黑客再掀网络间谍浪潮
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论