在一次引人注目的网络复杂程度展示中,高级持续性威胁 (APT) 组织 Earth Koshchei(也被称为 APT29 或 Midnight Blizzard)被发现与大规模恶意远程桌面协议 (RDP) 活动有关。
Earth Koshchei 在这次间谍和数据泄露活动中采用了创新策略和红队工具,使用商业 VPN 服务、TOR 和住宅代理等匿名层来掩盖其行动、增强其隐秘性并使归因工作复杂化。
此次最近的行动在 2024 年10月达到顶峰,目标是政府、军事组织、智库、学术研究人员和乌克兰实体等。
该组织利用鱼叉式网络钓鱼电子邮件和先进的匿名化技术,引起了网络安全界的严重担忧。
攻击如何进行?
Earth Koshchei 的攻击活动采用了多层攻击策略。此次行动的核心是嵌入在鱼叉式网络钓鱼电子邮件中的恶意 RDP 配置文件。
当毫无戒心的收件人打开该文件时,他们的设备会尝试通过攻击者设置的193个中继之一连接到恶意 RDP 服务器。
此次攻击依靠一种被称为“流氓 RDP”的方法,Black Hills Information Security 早在2022年就对其进行了详细描述。该技术使用了RDP中继、流氓服务器和恶意配置。
通过 Python 远程桌面协议中间人 (MITM) 框架 (PyRDP) 等工具,攻击者拦截并操纵 RDP 连接以获得对受害者机器的部分控制。
这使得数据泄露、文件浏览甚至执行恶意应用程序成为可能——所有这些都无需部署传统的恶意软件。
Earth Koshchei的攻击活动规模惊人。2024年 8月至10月期间,该组织注册了200多个域名,其中许多域名模仿了政府、IT公司和研究机构等目标组织的身份。
关键的准备活动包括设置34个恶意后端RDP服务器,作为其操作的中央指挥点。
根据网络安全公司 Trend Micro 的报告,10月 22日的鱼叉式网络钓鱼浪潮可能是之前较为低调的攻击活动的高潮。这些隐秘的攻击包括测试基础设施和针对特定实体。
10月22日的攻击活动标志着一次大规模升级,仅一天时间就瞄准了约200名备受瞩目的受害者,其活动规模与其他APT组织需要数周才能完成的活动规模相当。
Earth Koshchei 的动机似乎主要是间谍活动。该组织据称与俄罗斯对外情报局 (SVR) 有联系,曾多次针对西方国家的外交、军事、能源、电信和 IT 部门发动攻击。
其最新的攻击活动符合这一模式,受害者包括外交部、军事组织和学术研究人员。
TOR、商业VPN和住宅代理等匿名层的使用使得检测和归因变得困难。
这些策略使攻击者能够隐藏他们的活动,同时利用受感染的电子邮件服务器分发钓鱼电子邮件。此类路由器和代理为行动增加了另一个复杂性。
红队蓝图变成恶意蓝图
安全专家强调,Earth Koshchei 的流氓RDP策略很可能从旨在加强组织防御的红队方法中汲取了灵感。
攻击者有效地利用了这些技术,展示了网络安全创新如何被用于恶意目的。
例如,经过分析的一个RDP配置文件将受害者重定向到冒充Amazon Web Services (AWS) 实例的恶意服务器。
该文件还利用驱动器重定向和资源共享等功能来秘密提取敏感数据。在10月份的攻击浪潮中,估计有三个关键组织的数据被泄露,其中包括两个军事实体和一个云提供商。
归因与影响
虽然确切的归属仍很复杂,但趋势科技和其他公司已将该活动与Earth Koshchei联系起来,并引用了该组织独特的策略、技术和程序 (TTP)。
微软和亚马逊此前都将类似的攻击归咎于 APT29/Midnight Blizzard,这进一步证实了这些发现。
此次活动预示着一个令人不安的趋势:合法工具和方法(如红队技术)越来越多地被用于恶意目的。
这种演变凸显了先进的网络安全措施的必要性,包括阻止不受信任的出站 RDP 连接和禁止通过电子邮件传输可疑配置文件。
敦促各组织加强对此类攻击的防御。阻止与不受信任的服务器的出站 RDP 连接、监控恶意配置文件以及利用 Trend Micro Vision One 等威胁情报平台是降低风险的关键步骤。
趋势科技已将该活动中使用的恶意 RDP 配置文件归类为 Trojan.Win32.HUSTLECON.A。
该公司的全球威胁情报网络持续提供可操作的见解,帮助企业在不断演变的网络威胁中保持领先地位。
SOC(安全运营中心)和 DFIR(数字取证和事件响应)团队可以利用提供的入侵指标 (IOC)来识别和分析其环境中的潜在恶意活动。
