Sicherheitsforscher von Trend Micro haben eine großangelegte Cyber-Angriffskampagne der als APT29 (auch bekannt als Midnight Blizzard oder Earth Koshchei) bekannten Hackergruppe aufgedeckt. Die Angreifer setzen ein ausgeklügeltes Netzwerk von 193 RDP-Proxy-Servern ein, um weitreichende Man-in-the-Middle-Attacken durchzuführen.
Technische Infrastruktur und Angriffsmethodik
Im Zentrum der Angriffe steht das Tool PyRDP – ursprünglich für ethisches Hacking entwickelt. Die Hacker haben eine komplexe Infrastruktur aufgebaut, bei der die RDP-Proxy-Server den Datenverkehr an 34 Backend-Server weiterleiten. Diese Architektur ermöglicht es den Angreifern, Remote Desktop Protocol (RDP)-Verbindungen abzufangen und zu manipulieren.
Funktionsumfang der eingesetzten Malware
Das in Python geschriebene PyRDP-Tool bietet den Angreifern umfangreiche Möglichkeiten zur Systemkompromittierung. Zu den kritischen Funktionen gehören:
– Abfangen von Anmeldedaten im Klartext
– Extraktion von NTLM-Hashes
– Verdecktes Auslesen der Zwischenablage
– Zugriff auf freigegebene Laufwerke
Zusätzlich ermöglicht die Malware die Remote-Ausführung von Kommandozeilen- und PowerShell-Befehlen.
Zielgruppen und geografische Verteilung
Die Angriffe richten sich primär gegen strategische Ziele wie:
– Regierungseinrichtungen
– Militärische Organisationen
– Diplomatische Vertretungen
– Cloud- und IT-Dienstleister
– Telekommunikationsunternehmen
– Cybersecurity-Firmen
Die Kampagne erstreckt sich über mehrere Länder, darunter die USA, Frankreich, Deutschland und weitere europäische sowie nahöstliche Staaten.
Verschleierungstaktiken und Infrastrukturschutz
APT29 setzt auf mehrschichtige Anonymisierungstechniken, einschließlich:
– Kommerzieller VPN-Dienste mit Kryptowährungszahlung
– Tor-Exit-Nodes
– Residential Proxies
Diese Kombination erschwert die Rückverfolgung der tatsächlichen Server-Standorte erheblich.
Organisationen wird dringend empfohlen, ihre Sicherheitsmaßnahmen zu verstärken. Zentrale Schutzmaßnahmen umfassen die Implementierung von Multi-Faktor-Authentifizierung, verstärktes Monitoring von RDP-Verbindungen und regelmäßige Sicherheitsupdates. Die Kampagne zeigt deutlich, wie staatliche Akteure öffentlich verfügbare Tools für ihre Zwecke adaptieren und unterstreicht die Notwendigkeit robuster Sicherheitsarchitekturen.
