更多全球网络安全资讯尽在邑安全
俄罗斯背景黑客利用Windows RDP协议隐秘功能渗透欧洲军政系统
谷歌威胁情报小组(GTIG)最新报告披露,自2024年10月起,疑似与俄罗斯有关的黑客组织UNC5837正利用Windows远程桌面协议(RDP)的冷门功能,对欧洲政府及军事机构展开精密网络间谍活动。该攻击通过钓鱼邮件投递经数字签名的.RDP附件,受害者打开文件后,其计算机会自动与攻击者服务器建立隐蔽的RDP连接,全程不触发常规安全警告。
营销活动示例
无痕渗透技术解析攻击者与乌克兰国家通信安全局合作,伪装成亚马逊、微软等机构发送含SSL证书签名的.RDP文件。该文件激活后实现两大攻击路径:
-
资源定向劫持:通过驱动器和剪贴板重定向,攻击者可读写受害者全部磁盘文件、获取环境变量及剪贴板内容(包括用户复制的密码),虚拟机环境风险更甚;
-
伪装远程应用:受害者仅见名为"AWS安全存储连接测试"的窗口程序,实则为攻击者服务器托管的RemoteApp,通过RDP加密通道秘密运行,并利用%USERPROFILE%等系统变量实施侦察。
恶意 RDP
取证难点与防御建议由于攻击全程依赖系统原生功能且日志记录有限,GTIG指出关键取证痕迹包括:注册表项(HKEY_USERS...Terminal Server ClientServers中的攻击者IP)、MSTSC生成的临时文件,以及mstsc.exe的异常文件写入行为。微软建议采取以下措施:
-
强制启用网络级认证(NLA)
-
通过组策略禁止运行未签名.RDP文件
-
禁用驱动器重定向与剪贴板共享功能
攻击工具链疑云尽管尚未发现直接证据,GTIG认为攻击者可能使用PyRDP等代理工具实现凭据窃取、会话劫持等自动化操作。此事件凸显黑客正转向"合法功能武器化"的新型攻击范式——据美国网络安全审查委员会统计,2024年此类无文件攻击占比已攀升至67%。
目前,欧盟网络安全局已就该威胁发布紧急通告,强调需加强RDP会话异常文件创建的监控,并对员工开展.RDP文件识别的专项培训。随着远程办公常态化,专家警告此类利用系统信任机制的隐蔽攻击将持续升级。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/hackers-exploiting-windows-rdp-files-for-rogue-remote-desktop-connections/
原文始发于微信公众号(邑安全):黑客利用Windows .RDP文件建立非法远程桌面连接
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论