Aktor ancaman APT29 yang terkait dengan Rusia telah diamati menggunakan kembali metodologi serangan tim merah yang sah sebagai bagian dari serangan siber yang memanfaatkan file konfigurasi Remote Desktop Protocol (RDP) yang berbahaya.
Kegiatan tersebut, yang menargetkan pemerintah dan angkatan bersenjata, lembaga think tank, peneliti akademis, dan entitas Ukraina, memerlukan penerapan teknik “RDP nakal” yang sebelumnya didokumentasikan oleh Black Hills Information Security pada tahun 2022, kata Trend Micro dalam sebuah laporan.
“Korban dari teknik ini akan memberikan sebagian kendali atas mesin mereka kepada penyerang, yang berpotensi menyebabkan kebocoran data dan instalasi malware,” kata peneliti Feike Hacquebord dan Stephen Hilt.
Perusahaan keamanan siber tersebut melacak kelompok ancaman tersebut dengan nama Earth Koshchei, dan menyatakan bahwa persiapan untuk kampanye tersebut dimulai pada tanggal 7-8 Agustus 2024. Kampanye RDP juga disorot oleh Tim Tanggap Darurat Komputer Ukraina (CERT-UA). , Microsoft, dan Amazon Web Services (AWS) pada bulan Oktober.
Email spear-phishing dirancang untuk menipu penerima agar meluncurkan file konfigurasi RDP berbahaya yang dilampirkan pada pesan, menyebabkan mesin mereka terhubung ke server RDP asing melalui salah satu dari 193 relay RDP grup. Diperkirakan 200 korban terkenal menjadi sasaran dalam satu hari, yang menunjukkan besarnya skala kampanye ini.
Metode serangan yang diuraikan oleh Black Hill memerlukan penggunaan proyek sumber terbuka yang disebut PyRDP – digambarkan sebagai “alat dan pustaka Monster-in-the-Middle (MitM)” berbasis Python – di depan RDP sebenarnya yang dikendalikan musuh server untuk meminimalkan risiko deteksi.
Jadi, ketika korban membuka file RDP, dengan nama kode HUSTLECON, dari pesan email, ia memulai koneksi RDP keluar ke relai PyRDP, yang kemudian mengalihkan sesi tersebut ke server jahat.
“Saat membuat koneksi, server jahat meniru perilaku server RDP yang sah dan mengeksploitasi sesi tersebut untuk melakukan berbagai aktivitas jahat,” kata para peneliti. “Vektor serangan utama melibatkan penyerang yang menyebarkan skrip berbahaya atau mengubah pengaturan sistem pada mesin korban.”
Selain itu, server proxy PyRDP memungkinkan penyerang mendapatkan akses ke sistem korban, melakukan operasi file, dan menyuntikkan muatan berbahaya. Puncak dari serangan ini adalah pelaku ancaman memanfaatkan sesi RDP yang telah disusupi untuk mengambil data sensitif, termasuk kredensial dan informasi hak milik lainnya, melalui proxy.
Hal yang menarik dari serangan ini adalah pengumpulan data difasilitasi melalui file konfigurasi berbahaya tanpa harus menyebarkan malware khusus apa pun, sehingga memungkinkan pelaku ancaman tidak terdeteksi radar.
Karakteristik lain yang patut disebutkan adalah penggunaan lapisan anonimisasi seperti node keluar TOR untuk mengontrol server RDP, serta penyedia proxy perumahan dan layanan VPN komersial untuk mengakses server email sah yang digunakan untuk mengirim email spear-phishing.
“Alat seperti PyRDP meningkatkan serangan dengan memungkinkan intersepsi dan manipulasi koneksi RDP,” tambah para peneliti. “PyRDP dapat secara otomatis merayapi drive bersama yang dialihkan oleh korban dan menyimpan kontennya secara lokal di mesin penyerang, memfasilitasi eksfiltrasi data yang lancar.”
“Earth Koshchei menggunakan metodologi baru dari waktu ke waktu untuk kampanye spionase mereka. Mereka tidak hanya memperhatikan kerentanan lama dan baru yang membantu mereka mendapatkan akses awal, tetapi mereka juga melihat metodologi dan alat yang dikembangkan tim merah.”
