俄罗斯黑客组织APT29（即“Midnight Blizzard”）正在通过193台桌面协议代理服务器发动中间人攻击，窃取数据和凭据，安装恶意 payload。

这些中间人攻击利用红队代理工具PyRDP扫描受害者的文件系统，在后台窃取数据并在受陷环境中远程执行恶意应用。趋势科技将这些威胁行动者称为 “地球科西切 (Earth Koshchei)”，并表示攻击者针对的是政府和军事组织机构、外交实体、IT和云服务提供商以及电信和网络安全企业。

从因这起攻击而注册的域名可看出，APT29攻击的实体主要位于美国、法国、澳大利亚、乌克兰、葡萄牙、德国、以色列、法国、希腊、土耳其和荷兰。

利用 PyRDP 执行中间人攻击

RDP 是由微软开发的专有协议，供用户通过网络远程访问和控制另外一台电脑，常用于远程管理、技术支持以及连接企业环境中的系统。

2024年10月，亚马逊和乌克兰CERT联合发布报告证实称，APT29诱骗受害者运行了含有钓鱼邮件附件的文件后，连接到恶意RDP服务器。一旦设立连接，本地资源如磁盘、网络、打印机、剪贴板、音频设备和COM端口就会与受攻击者控制的RDP服务器共享，使攻击者获得对敏感信息的无条件访问权限。

趋势科技公司发现193个RDP代理服务器将连接重定向到受攻击者控制的34个后端服务器，攻击者借此监控和拦截RDP会话。黑客利用Python 中间人红队工具 PyRDP来拦截受害者与远程会话之间的通信，使连接看似是合法的。攻击者还可使用PyRDP记录明文凭据或NTLM哈希，窃取剪贴板数据、窃取传输的文件、从位于后台的共享驱动窃取数据，并在新连接上运行控制台或 PowerShell 命令。

研究人员指出，该攻击技术由Mike Felch 在2022年率先提出，它可能启发了 APT29 组织的技术利用。趋势科技公司解释称，“在建立连接后，恶意服务器模拟合法RDP服务器的行为并利用该会话执行多种恶意活动。主要的攻击向量涉及攻击者部署恶意脚本或修改受害者机器上的系统设置。此外，PyRDP 代理有助于访问受害者的文件系统，从而使攻击者浏览目录、读取或修改文件并注入恶意payload。”在所分析的恶意配置中，还存在一个为用户提供误导的AWS安全存储连接稳定性测试连接请求的配置。

APT29组织的通过商用VPN产品接受加密付款、TOR退出节点和住宅代理服务来混淆恶意RDP服务器的IP地址。

要防御恶意RDP配置，需要对恶意邮件做出良好的响应，在本案例中，恶意邮件是在攻击发动前，就从受陷的合法地址发出的。更重要的是，Windows 用户应仅允许RDP连接到已知且受信任的服务器并永远不要使用通过邮件附件发送的RDP连接。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~