изображение: recraft
Русских хакеров из группировки APT29 (Midnight Blizzard) обвинили в создании крупномасштабной сети из 193 прокси-серверов протокола удалённого рабочего стола для проведения кибератак типа «человек посередине» (MiTM). По словам экспертов по информационной безопасности профильной компании Trend Micro, подобные атаки киберпреступники проводят для кражи конфиденциальной информации и учётных данных, а также для установки вредоносного программного обеспечения в целевых сетях.
Эксперты Trend Micro отмечают, что в ходе атак MiTM хакеры использовали прокси-инструмент PyRDP Red Team для сканирования файловых систем жертв, кражи данных в фоновом режиме и удалённого запуска мошеннических приложений во взломанной среде.
Компания Trend Micro, отслеживающая эту хакерскую группу под названием Earth Koshchei («Земля Кощея»), сообщила, что выявленная киберпреступная кампания нацелена на правительственные и военные организации, дипломатические учреждения, поставщиков ИТ-услуг и облачных сервисов, а также компании, занимающиеся телекоммуникациями и кибербезопасностью. Доменные имена, зарегистрированные для проведения атак, свидетельствуют о том, что хакерская группа APT29 нацелилась в первую очередь на организации в США, Франции, Австралии, Украине, Португалии, Германии, Израиле, Греции, Турции и Нидерландах.
В октябре 2024 года компания Amazon и центр CERT-UA уже публиковали отчёты, в которых заявлялось, что якобы хакерская группа APT29 обманным путём заставляет жертв подключаться к мошенническим RDP-серверам после запуска файла, прикреплённого к фишинговым письмам. После установки соединения локальные ресурсы, в том числе диски, сети, принтеры, буфер обмена, аудиоустройства и COM-порты, становятся общими для RDP-сервера, контролируемого злоумышленником, что обеспечивает ему безусловный доступ к конфиденциальной информации.
В новом отчёте компании Trend Micro раскрываются более подробные сведения об этой активности после выявления 193 прокси-серверов RDP, которые перенаправляли соединения на 34 контролируемых злоумышленниками внутренних сервера, что позволяло отслеживать и перехватывать сеансы RDP.
Оригинал публикации на сайте CISOCLUB: "«Русские хакеры» применяют RDP-прокси для кражи данных в ходе атак MiTM".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
