В октябре 2024 года Google Threat Intelligence Group (GTIG) обнародовала информацию о сложной фишинговой кампании, связанной с подозреваемым субъектом в области шпионажа из России, известным как UNC5837. Целями этой кампании стали европейские правительственные и военные организации.
Инновационные методы атаки
В рамках кампании злоумышленники использовали креативные тактики, включая:
- Файловые вложения, подписанные по протоколу удаленного рабочего стола (RDP), для установления соединений с компьютерами жертв.
- Перенаправление ресурсов для сопоставления файловых систем жертвы с серверами, контролируемыми злоумышленниками.
- Использование удаленных приложений, замаскированных под легитимные сервисы, такие как Amazon и Microsoft.
Файлы с расширением .rdp, имеющие вид приложений, были распространены через массовые электронные письма в правительственные учреждения. При их выполнении запускалось RDP-соединение, что позволяло злоумышленнику получать доступ на чтение и запись ко всем дискам жертвы.
Неправомерное использование функций RDP
Вредоносная конфигурация кампании использовала функции RDP, чтобы скрывать настоящие намерения атакующих. Например, жертвам показывали ложное приложение под названием «AWS Secure Storage Connection Stability Test». Существуют данные о том, что для эксфильтрации файлов и захвата буфера обмена использовался прокси-сервер RDP, такой как PyRDP.
PyRDP обладает расширенной функциональностью, фиксируя исходные последовательности подтверждения связи и расшифровывая потоки связи RDP. Этот инструмент позволяет злоумышленникам обходить файловую систему жертв, не взаимодействуя напрямую с их оборудованием, а также запускать удаленные приложения, которые выглядят как локальные для жертвы.
Цели и угрозы
Основные цели кампании сосредоточены на шпионаже и краже данных, в то время как прямое управление системой не является главной задачей злоумышленников. Это связано с тем, что их возможности выполнять команды на системах жертв могут быть ограничены.
Рекомендации по обеспечению безопасности
GTIG выделила ряд мер по повышению безопасности для организаций, направленных на снижение последствий подобных атак:
- Блокировка исходящего трафика RDP на общедоступные IP-адреса.
- Отключение перенаправления ресурсов с помощью параметров реестра.
- Применение строгих конфигураций групповой политики.
Эти превентивные меры помогут устранить уязвимости, связанные с RDP, и укрепить защиту от целенаправленных атак.
Заключение
Инцидент с кампанией UNC5837 демонстрирует, как традиционные методы фишинга могут быть адаптированы с учетом современных тактик, что делает их более эффективными. Хакеры, применяя нюансы RDP и модульный подход к атакам, могут действовать в условиях ограниченной видимости для криминалистов. Это подчеркивает необходимость организации поддерживать бдительность и адаптировать свои методы обеспечения безопасности к угрозам, возникающим в киберпространстве.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Изощрённый фишинг: Как UNC5837 атакует европейские организации".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.