Исследователи https://www.trendmicro.com/en_us/res...-koshchei.html, что русскоязычная хак-группа APT29 (она же Midnight Blizzard и Earth Koshchei) использует сеть из 193 RDP-прокси для проведения атак типа «человек посередине» (man-in-the-middle, MiTM) с целью кражи информации, учетных данных и развертывания малвари.
Trend Micro сообщает, что в своих MiTM-атаках группировка использует предназначенный для red team прокси-инструмент https://github.com/GoSecure/pyrdp. С его помощью хакеры сканируют файловые системы жертв, похищают данные в фоновом режиме и удаленно выполняют вредоносные приложения в скомпрометированных средах.
По словам исследователей, обнаруженная была кампания нацелена на правительственные и военные организации, дипломатические структуры, поставщиков облачных и ИТ-услуг, а также телекоммуникационные компании и компании, занимающиеся кибербезопасностью.
Доменные имена, зарегистрированные для кампании, указывают на то, что на этот раз целями APT29 были организации, расположенные в США, Франции, Австралии, Украине, Португалии, Германии, Израиле, Франции, Греции, Турции и Нидерландах.
Еще в октябре 2024 года специалисты Amazon https://aws.amazon.com/blogs/securit...used-by-apt29/, что APT29 обманом вынуждает своих жертв запустить файл, приложенный к фишинговому письму, и подключаться к вредоносным RDP-серверам,
После установки такого соединения все локальные ресурсы (включая диски, сети, принтеры, аудиоустройства и так далее) становятся общими и доступными для RDP-сервера злоумышленников, что позволяет хакерам получить полный доступ к конфиденциальной информации.
Как теперь пишет Trend Micro, в этих операциях использовались 193 RPD-прокси, которые перенаправляли соединения на 34 подконтрольных злоумышленникам бекэнд-сервера, что позволяло им контролировать и перехватывать RDP-сессии.
https://xakep.ru/wp-content/uploads/.../intercept.jpg
«После установки соединения вредоносный сервер имитирует поведение легитимного RDP-сервера и использует сессию для выполнения различных вредоносных действий, — объясняют в Trend Micro. — Основной вектор атаки включает в себя развертывание вредоносных скриптов и изменение системных настроек на компьютере жертвы».
Как уже упоминалось выше, группировка использовала MitM-инструмент PyRDP, написанный на Python. Инструмент позволял атакующим перехватывать учетные данные и хеши NTLM открытым текстом, похищать данные из буфера обмена, передаваемые файлы и данные с shared-дисков в фоновом режиме, а также запускать консольные и PowerShell-команды при новых подключениях.
Исследователи отмечают, что впервые такая техника атак была https://www.blackhillsinfosec.com/ro...ccess-methods/ИБ-экспертом Майком Фелчем (Mike Felch) в 2022 году. И, возможно, именно он вдохновил APT29 на использование этой тактики.
Также отчет компании гласит, что для уклонения от обнаружения APT29 использует сложную комбинацию коммерческих VPN-продуктов, принимающих криптовалютные платежи, выходные ноды Tor и резидентные прокси, чтобы скрывать реальные IP-адреса вредоносных RDP-серверов.
https://xakep.ru/wp-content/uploads/...astructure.jpg
https://xakep.ru/2024/12/20/midnight-blizzard-rdp/