Rusya bağlantılı APT29 tehdit aktörünün, kötü amaçlı Uzak Masaüstü Protokolü (RDP) yapılandırma dosyalarından yararlanarak gerçekleştirdiği siber saldırıların bir parçası olarak meşru bir kırmızı takım saldırı metodolojisini yeniden kullandığı gözlemlendi.
Trend Micro'nun yayınladığı rapora göre, hükümetleri, silahlı kuvvetleri, düşünce kuruluşlarını, akademik araştırmacıları ve Ukraynalı kuruluşları hedef alan bu faaliyet, daha önce Black Hills Bilgi Güvenliği tarafından 2022'de belgelenen "sahte RDP" tekniğinin benimsenmesini gerektiriyor.
Araştırmacılar Feike Hacquebord ve Stephen Hilt, "Bu tekniğin kurbanı olan kişi, makinesinin kısmi kontrolünü saldırgana verebilir ve bu da veri sızıntısına ve kötü amaçlı yazılım kurulumuna yol açabilir" dedi.
Siber güvenlik şirketi, tehdit grubunu kendi takma adı Earth Koshchei altında takip ediyor ve kampanyaya yönelik hazırlıkların 7-8 Ağustos 2024 gibi erken bir tarihte başladığını belirtiyor. RDP kampanyaları ayrıca Ekim ayında Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Microsoft ve Amazon Web Services (AWS) tarafından da vurgulanmıştı.
Mızraklı kimlik avı e-postaları, alıcıları mesaja eklenmiş kötü amaçlı bir RDP yapılandırma dosyasını başlatmaya kandırmak için tasarlanmıştı ve makinelerinin grubun 193 RDP rölesinden biri aracılığıyla yabancı bir RDP sunucusuna bağlanmasına neden oluyordu. Tek bir günde tahmini 200 yüksek profilli kurban hedef alındı ve bu da kampanyanın ölçeğini gösteriyor.
Black Hill'in açıkladığı saldırı yöntemi, tespit riskini en aza indirmek için gerçek saldırgan kontrollü RDP sunucusunun önünde, Python tabanlı bir "Monster-in-the-Middle (MitM) aracı ve kütüphanesi" olarak tanımlanan PyRDP adlı açık kaynaklı bir projenin kullanılmasını içeriyor.
Bu nedenle, bir kurban e-posta mesajındaki HUSTLECON kod adlı RDP dosyasını açtığında, PyRDP rölesine giden bir RDP bağlantısı başlatır ve ardından oturumu kötü amaçlı bir sunucuya yönlendirir.
Araştırmacılar, "Bağlantı kurulduğunda, sahte sunucu meşru bir RDP sunucusunun davranışını taklit ediyor ve çeşitli kötü amaçlı faaliyetler yürütmek için oturumu kullanıyor," dedi. "Birincil saldırı vektörü, saldırganın kötü amaçlı betikler dağıtmasını veya kurbanın makinesindeki sistem ayarlarını değiştirmesini içerir."
Üstüne üstlük, PyRDP proxy sunucusu saldırganın kurbanın sistemlerine erişmesini, dosya işlemleri gerçekleştirmesini ve kötü amaçlı yükler enjekte etmesini sağlar. Saldırı, tehdit aktörünün proxy aracılığıyla kimlik bilgileri ve diğer özel bilgiler de dahil olmak üzere hassas verileri sızdırmak için tehlikeye atılmış RDP oturumunu kullanmasıyla sonuçlanır.
Bu saldırıda dikkat çeken nokta, herhangi bir özel kötü amaçlı yazılım dağıtmaya gerek kalmadan, kötü amaçlı bir yapılandırma dosyası aracılığıyla veri toplamanın kolaylaştırılması ve böylece tehdit aktörlerinin radar altında uçabilmesine olanak sağlanmasıdır.
Bahsetmeye değer bir diğer özellik ise RDP sunucularını kontrol etmek için TOR çıkış düğümleri gibi anonimleştirme katmanlarının kullanılması, ayrıca kimlik avı e-postalarını göndermek için kullanılan meşru posta sunucularına erişmek için konut proxy sağlayıcıları ve ticari VPN hizmetlerinin kullanılmasıdır.
Araştırmacılar, "PyRDP gibi araçlar, RDP bağlantılarının kesilmesini ve manipüle edilmesini sağlayarak saldırıyı güçlendirir," diye ekledi. "PyRDP, kurban tarafından yönlendirilen paylaşımlı sürücüleri otomatik olarak tarayabilir ve içeriklerini saldırganın makinesinde yerel olarak kaydederek sorunsuz veri sızdırılmasını kolaylaştırır."
"Earth Koshchei casusluk kampanyaları için zaman içinde yeni metodolojiler kullanıyor. Sadece ilk erişimi elde etmelerine yardımcı olan eski ve yeni güvenlik açıklarına dikkat etmiyorlar, aynı zamanda kırmızı takımların geliştirdiği metodolojilere ve araçlara da bakıyorlar."
Son düzenleme:
