el más reciente

― Advertisement ―

Relacionada

spot_img
InicioTecnologíaLos piratas informáticos de APT29 se dirigen a víctimas de alto valor...

Los piratas informáticos de APT29 se dirigen a víctimas de alto valor utilizando servidores RDP no autorizados y PyRDP

Se ha observado que el actor de amenazas APT29 vinculado a Rusia reutiliza una metodología legítima de ataque de equipo rojo como parte de ataques cibernéticos que aprovechan archivos de configuración maliciosos del Protocolo de escritorio remoto (RDP).

La actividad, que se ha dirigido a gobiernos y fuerzas armadas, grupos de expertos, investigadores académicos y entidades ucranianas, implica la apadrinamiento de una técnica «RDP deshonesta» que fue documentada previamente por Black Hills Information Security en 2022, dijo Trend Micro en un mensaje.

«Una víctima de esta técnica daría control parcial de su máquina al atacante, lo que podría provocar una fuga de datos y la instalación de malware», dijeron los investigadores Feike Hacquebord y Stephen Hilt.

La empresa de ciberseguridad está rastreando al corro de amenazas bajo su propio apodo Earth Koshchei, afirmando que los preparativos para la campaña comenzaron el 7 y 8 de agosto de 2024. Las campañas de RDP igualmente fueron destacadas por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA). , Microsoft y Amazon Web Services (AWS) en octubre.

Los correos electrónicos de phishing fueron diseñados para engañar a los destinatarios para que lanzaran un archivo de configuración RDP sagaz adjunto al mensaje, lo que provocaba que sus máquinas se conectaran a un servidor RDP forastero a través de uno de los 193 repetidores RDP del corro. Se estima que en un solo día se atacaron unas 200 víctimas de parada perfil, lo que indica la escalera de la campaña.

El método de ataque descrito por Black Hill implica el uso de un esquema de código rajado llamado PyRDP, descrito como una «utensilio y biblioteca Monster-in-the-Middle (MitM)» basada en Python, frente al RDP existente controlado por el adversario. servidor para minimizar el aventura de detección.

Leer  Una guía práctica para MSP

Por lo tanto, cuando una víctima abre el archivo RDP, con nombre en código HUSTLECON, desde el mensaje de correo electrónico, inicia una conexión RDP saliente al relé PyRDP, que luego redirige la sesión a un servidor sagaz.

«Al establecer la conexión, el servidor fraudulento imita el comportamiento de un servidor RDP auténtico y explota la sesión para admitir a lengua diversas actividades maliciosas», dijeron los investigadores. «Un vector de ataque principal implica que el atacante implemente scripts maliciosos o altere la configuración del sistema en la máquina de la víctima».

Adicionalmente de eso, el servidor proxy PyRDP permite al atacante obtener ataque a los sistemas de la víctima, realizar operaciones con archivos e inyectar cargas enseres maliciosas. El ataque culmina cuando el actor de la amenaza aprovecha la sesión RDP comprometida para filtrar datos confidenciales, incluidas credenciales y otra información patentada, a través del proxy.

Lo trascendente de este ataque es que la sumario de datos se facilita mediante un archivo de configuración sagaz sin tener que implementar ningún malware personalizado, lo que permite que los actores de la amenaza pasen desapercibidos.

Otra característica que merece mención es el uso de capas de anonimización como nodos de salida TOR para controlar los servidores RDP, así como proveedores de proxy residenciales y servicios VPN comerciales para aceptar a servidores de correo legítimos que se emplearon para expedir correos electrónicos de phishing.

«Herramientas como PyRDP mejoran el ataque al permitir la interceptación y manipulación de conexiones RDP», agregaron los investigadores. «PyRDP puede rastrear automáticamente unidades compartidas redirigidas por la víctima y acatar su contenido localmente en la máquina del atacante, lo que facilita la filtración de datos sin problemas».

Leer  Comisión de la UE multada por transferir datos de usuario a Meta en violación de las leyes de privacidad

«Earth Koshchei utiliza nuevas metodologías a lo dispendioso del tiempo para sus campañas de espionaje. No sólo prestan mucha atención a las vulnerabilidades nuevas y antiguas que les ayudan a obtener ataque original, sino que igualmente analizan las metodologías y herramientas que desarrollan los equipos rojos».

El más popular

spot_img