گروه سایبری APT29، که با نام Earth Koshchei نیز شناخته میشود، در حملات پیشرفته خود از ابزارهای تیم قرمز مانند PyRDP برای سوءاستفاده از تنظیمات RDP سرکش بهره میبرد. این حملات، که معمولاً سازمانهای دولتی، نظامی و دانشگاهی را هدف قرار میدهند، از طریق فیشینگ هدفمند فایلهای RDP مخرب منتقل میشوند و امکان سرقت اطلاعات و نفوذ به سیستمها را بدون نیاز به بدافزارهای خاص فراهم میکنند.
APT29 از RDP سرکش و PyRDP در عملیات جاسوسی سایبری بهره میبرد
گروه APT29، یک گروه تهدید پیشرفتهی پایدار (APT) مرتبط با روسیه که با نام Earth Koshchei نیز شناخته میشود، در عملیات جاسوسی سایبری پیچیدهای دست دارد. کارشناسان امنیت سایبری در Trend Micro گزارش دادهاند که APT29 تکنیکی قانونی از تیم قرمز، شامل سرورهای پروتکل دسکتاپ راه دور (RDP) سرکش، را تغییر کاربری داده است. این گروه از ابزارهای متنباز مانند PyRDP برای انجام حملات هدفمند، بهویژه علیه اهداف باارزش مانند نهادهای دولتی، سازمانهای نظامی، اندیشکدهها و پژوهشگران دانشگاهی، استفاده میکند. نهادهای اوکراینی نیز بهطور خاص هدف این عملیات قرار گرفتهاند.
تکنیک RDP سرکش و سوءاستفاده از PyRDP
روش RDP سرکش مورد استفادهی APT29 برگرفته از یک تکنیک تیم قرمز است که توسط Black Hills Information Security در سال ۲۰۲۲ معرفی شد. در اصل، این حمله شامل ایمیلهای فیشینگ هدفمند حاوی فایلهای پیکربندی RDP مخرب است. این فایلها طوری طراحی شدهاند که قربان را فریب داده و او را به برقراری ارتباط RDP با سرورهای تحت کنترل مهاجم ترغیب کنند. این سرورها از PyRDP، یک ابزار متنباز مبتنی بر پایتون و از نوع “مرد میانی” (Man-in-the-Middle)، برای رهگیری و دستکاری اتصالات RDP استفاده میکنند.
وقتی گیرندگان ناآگاه فایل مخرب RDP – با اسم رمز HUSTLECON – را اجرا میکنند، دستگاههایشان اتصالات خروجی را به سرورهای رلهی PyRDP برقرار میکنند. این رلهها با تقلید از رفتار عادی RDP، ماهیت واقعی سرور تحت کنترل مهاجم را پنهان میکنند. پس از برقراری اتصال، مهاجمان کنترل نسبی سیستم قربانی را به دست میآورند و راه را برای استخراج دادهها، نصب بدافزار و سایر فعالیتهای مخرب باز میکنند.
تحویل و مقیاس حمله پیچیده
آمادگی برای این عملیات ظاهراً از اوایل آگوست ۲۰۲۴ آغاز شده است و نهادهایی مانند CERT-UA، مایکروسافت و AWS به تلاشهای عملیاتی آن اشاره کردهاند. مقیاس عملیات APT29 قابل توجه است. تخمین زده میشود که در یک روز، ۲۰۰ هدف سطح بالا تحت تأثیر قرار گرفتهاند. ایمیلهای فیشینگ هدفمند مورد استفاده در این طرح، بهگونهای طراحی شدهاند که گیرندگان را به اجرای فایلهای پیکربندی مخرب RDP فریب دهند. این امر به مهاجمان اجازه میدهد تا اتصالات را از طریق یکی از ۱۹۳ رلهی RDP خود هدایت کنند.
این روش حمله بهطور ویژه موذیانه است زیرا مکانیسمهای سنتی تشخیص بدافزار را دور میزند. APT29 با تکیه بر فایلهای پیکربندی مخرب به جای بدافزار اختصاصی، ردپای عملیاتی خود و احتمال شناسایی شدن را کاهش میدهد.
ویژگیهای کلیدی حمله
اثربخشی این عملیات به چند ویژگی متمایز آن نسبت داده میشود:
-
PyRDP به عنوان یک ابزار پروکسی: PyRDP با امکان رهگیری و دستکاری جلسات RDP، حمله را تقویت میکند. این ابزار به مهاجمان اجازه میدهد تا عملیات مربوط به فایلها را انجام دهند، تنظیمات سیستم را تغییر دهند و بارهای مخرب را با حداقل ریسک شناسایی تزریق کنند.
-
استخراج دادهها از طریق درایوهای مشترک: PyRDP میتواند بهطور خودکار دادهها را از درایوهای مشترک در طول جلسات RDP جمعآوری و استخراج کند. این محتویات بهطور محلی در دستگاه مهاجم ذخیره میشوند و فرآیند استخراج را ساده میکنند.
-
Tor و لایههای ناشناسسازی: برای حفظ ناشناس بودن، APT29 از گرههای خروجی Tor، شبکههای پروکسی مسکونی و سرویسهای VPN تجاری استفاده میکند. این ابزارها منشأ سرورهای RDP آنها را پنهان میکنند و دسترسی به سرورهای ایمیل قانونی مورد استفاده برای عملیات فیشینگ هدفمند را آسانتر میکنند.
-
استقرار حداقل بدافزار: APT29 با استفاده از فایلهای پیکربندی مخرب به جای بدافزار اختصاصی، از بهجا گذاشتن ردپاهای قابل شناسایی در سیستمهای آسیبدیده اجتناب میکند. این رویکرد پنهانکارانه، تلاشهای شناسایی تیمهای امنیت سایبری را پیچیده میکند.
پیامدهای گستردهتر و سازگاری
استفادهی APT29 از تکنیکهای RDP سرکش، توانایی آنها برای سازگاری و تکامل در طول زمان را نشان میدهد. این گروه نه تنها از آسیبپذیریهای موجود سوءاستفاده میکند، بلکه روشها و ابزارهای پیشرفتهای را که در ابتدا برای تمرینهای اخلاقی تیم قرمز طراحی شده بودند، بهکار میگیرد. تأکید آنها بر استفاده از ابزارهای قانونی مانند PyRDP، روند رو به رشد محو شدن مرز بین شیوههای امنیتی تهاجمی و سوءاستفادهی مخرب را در میان بازیگران تهدید برجسته میکند.
این تاکتیکها نشاندهندهی یک استراتژی گستردهتر با هدف دستیابی به اهداف جاسوسی بلندمدت و در عین حال به حداقل رساندن ریسک شناسایی است. APT29 با تغییر کاربری ابزارها و روشهای قانونی، از دفاعهای سنتی امنیت سایبری پیشی میگیرد.
نتیجهگیری: نیاز به هوشیاری
عملیات APT29 نشاندهندهی نبوغ بیامان بازیگران سایبری تحت حمایت دولت در سوءاستفاده از آسیبپذیریهای فناوری و خطای انسانی است. سازمانها باید هوشیار باشند، اقدامات امنیتی ایمیل قوی را اجرا کنند، آموزشهای منظم برای افزایش آگاهی کارکنان در مورد فیشینگ برگزار کنند و فعالیتهای شبکه را برای شناسایی نشانههای اتصالات RDP سرکش نظارت کنند. از آنجایی که بازیگران تهدید مانند APT29 به اصلاح تاکتیکهای خود ادامه میدهند، اقدامات پیشگیرانهی امنیت سایبری برای کاهش خطرات و حفاظت از اطلاعات حساس ضروری است.
اگر به خواندن کامل این مطلب علاقهمندید، روی لینک مقابل کلیک کنید: the hacker news
