Midnight Blizzard: Staatliche Hackergruppe führt ausgefeilte MitM-Attacken durch

Foto des Autors

CyberSecureFox Editorial Team

Sicherheitsforscher von Trend Micro haben eine großangelegte Cyber-Angriffskampagne der als APT29 (auch bekannt als Midnight Blizzard oder Earth Koshchei) bekannten Hackergruppe aufgedeckt. Die Angreifer setzen ein ausgeklügeltes Netzwerk von 193 RDP-Proxy-Servern ein, um weitreichende Man-in-the-Middle-Attacken durchzuführen.

Technische Infrastruktur und Angriffsmethodik

Im Zentrum der Angriffe steht das Tool PyRDP – ursprünglich für ethisches Hacking entwickelt. Die Hacker haben eine komplexe Infrastruktur aufgebaut, bei der die RDP-Proxy-Server den Datenverkehr an 34 Backend-Server weiterleiten. Diese Architektur ermöglicht es den Angreifern, Remote Desktop Protocol (RDP)-Verbindungen abzufangen und zu manipulieren.

Funktionsumfang der eingesetzten Malware

Das in Python geschriebene PyRDP-Tool bietet den Angreifern umfangreiche Möglichkeiten zur Systemkompromittierung. Zu den kritischen Funktionen gehören:
Abfangen von Anmeldedaten im Klartext
Extraktion von NTLM-Hashes
Verdecktes Auslesen der Zwischenablage
Zugriff auf freigegebene Laufwerke
Zusätzlich ermöglicht die Malware die Remote-Ausführung von Kommandozeilen- und PowerShell-Befehlen.

Zielgruppen und geografische Verteilung

Die Angriffe richten sich primär gegen strategische Ziele wie:
– Regierungseinrichtungen
– Militärische Organisationen
– Diplomatische Vertretungen
– Cloud- und IT-Dienstleister
– Telekommunikationsunternehmen
– Cybersecurity-Firmen
Die Kampagne erstreckt sich über mehrere Länder, darunter die USA, Frankreich, Deutschland und weitere europäische sowie nahöstliche Staaten.

Verschleierungstaktiken und Infrastrukturschutz

APT29 setzt auf mehrschichtige Anonymisierungstechniken, einschließlich:
– Kommerzieller VPN-Dienste mit Kryptowährungszahlung
– Tor-Exit-Nodes
– Residential Proxies
Diese Kombination erschwert die Rückverfolgung der tatsächlichen Server-Standorte erheblich.

Organisationen wird dringend empfohlen, ihre Sicherheitsmaßnahmen zu verstärken. Zentrale Schutzmaßnahmen umfassen die Implementierung von Multi-Faktor-Authentifizierung, verstärktes Monitoring von RDP-Verbindungen und regelmäßige Sicherheitsupdates. Die Kampagne zeigt deutlich, wie staatliche Akteure öffentlich verfügbare Tools für ihre Zwecke adaptieren und unterstreicht die Notwendigkeit robuster Sicherheitsarchitekturen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen