APT29-hackers richten zich op waardevolle slachtoffers met behulp van frauduleuze RDP-servers en PyRDP

Er is waargenomen dat de aan Rusland gelinkte APT29-bedreigingsacteur een legitieme red teaming-aanvalsmethodologie herbestemt als onderdeel van cyberaanvallen waarbij gebruik wordt gemaakt van kwaadaardige Remote Desktop Protocol (RDP)-configuratiebestanden.

De activiteit, die zich richt op regeringen en strijdkrachten, denktanks, academische onderzoekers en Oekraïense entiteiten, houdt de adoptie van een ‘malafide RDP’-techniek in die eerder in 2022 door Black Hills Information Security werd gedocumenteerd, aldus Trend Micro in een rapport.

“Een slachtoffer van deze techniek zou de aanvaller gedeeltelijke controle over zijn machine geven, wat mogelijk kan leiden tot datalekken en de installatie van malware”, aldus onderzoekers Feike Hacquebord en Stephen Hilt.

Het cyberbeveiligingsbedrijf volgt de dreigingsgroep onder zijn eigen naam Earth Koshchei en beweert dat de voorbereidingen voor de campagne al op 7 en 8 augustus 2024 zijn begonnen. De RDP-campagnes werden ook onder de aandacht gebracht door het Computer Emergency Response Team van Oekraïne (CERT-UA). , Microsoft en Amazon Web Services (AWS) in oktober.

De spearphishing-e-mails waren bedoeld om de ontvangers te misleiden zodat ze een kwaadaardig RDP-configuratiebestand als bijlage bij het bericht zouden lanceren, waardoor hun machines verbinding zouden maken met een buitenlandse RDP-server via een van de 193 RDP-relays van de groep. Op één dag waren naar schatting 200 spraakmakende slachtoffers het doelwit, wat de omvang van de campagne aangeeft.

De door Black Hill geschetste aanvalsmethode omvat het gebruik van een open-sourceproject genaamd PyRDP – beschreven als een op Python gebaseerde ‘Monster-in-the-Middle (MitM) tool en bibliotheek’ – tegenover het feitelijke door de tegenstander gecontroleerde RDP. server om het risico op detectie te minimaliseren.

Wanneer een slachtoffer dus het RDP-bestand met de codenaam HUSTLECON opent vanuit het e-mailbericht, initieert het een uitgaande RDP-verbinding met de PyRDP-relay, die de sessie vervolgens doorstuurt naar een kwaadwillende server.

“Bij het tot stand brengen van de verbinding bootst de frauduleuze server het gedrag van een legitieme RDP-server na en exploiteert de sessie om verschillende kwaadaardige activiteiten uit te voeren”, aldus de onderzoekers. “Een primaire aanvalsvector houdt in dat de aanvaller kwaadaardige scripts inzet of systeeminstellingen op de machine van het slachtoffer wijzigt.”

Bovendien stelt de PyRDP-proxyserver de aanvaller in staat toegang te krijgen tot de systemen van het slachtoffer, bestandsbewerkingen uit te voeren en kwaadaardige ladingen te injecteren. De aanval culmineert wanneer de bedreigingsacteur de gecompromitteerde RDP-sessie gebruikt om via de proxy gevoelige gegevens, waaronder inloggegevens en andere bedrijfseigen informatie, te exfiltreren.

Het opvallende aan deze aanval is dat de gegevensverzameling wordt vergemakkelijkt door middel van een kwaadaardig configuratiebestand zonder dat er aangepaste malware hoeft te worden ingezet, waardoor de dreigingsactoren onder de radar kunnen blijven.

Een ander kenmerk dat het vermelden waard is, is het gebruik van anonimiseringslagen zoals TOR-exitknooppunten om de RDP-servers te controleren, evenals residentiële proxyproviders en commerciële VPN-diensten om toegang te krijgen tot legitieme mailservers die werden gebruikt om de spear-phishing-e-mails te verzenden.

“Tools zoals PyRDP versterken de aanval door het onderscheppen en manipuleren van RDP-verbindingen mogelijk te maken”, voegde de onderzoekers eraan toe. “PyRDP kan automatisch gedeelde schijven doorzoeken die door het slachtoffer zijn omgeleid en de inhoud ervan lokaal op de machine van de aanvaller opslaan, waardoor naadloze gegevensexfiltratie wordt vergemakkelijkt.”

“Earth Koshchei gebruikt in de loop van de tijd nieuwe methodologieën voor hun spionagecampagnes. Ze besteden niet alleen veel aandacht aan oude en nieuwe kwetsbaarheden die hen helpen bij het verkrijgen van initiële toegang, maar ze kijken ook naar de methodologieën en tools die rode teams ontwikkelen.”

Thijs Van der Does