Специалисты компании Trend Micro обнаружили масштабную кампанию хакерской группы APT29 (также известной как Midnight Blizzard и Earth Koshchei), в рамках которой злоумышленники используют обширную сеть из 193 RDP-прокси серверов для проведения атак типа «человек посередине» (MitM).
Техническая инфраструктура и методы атаки
Исследование показало, что группировка применяет специализированный инструмент PyRDP, изначально разработанный для тестирования на проникновение (red teaming). Злоумышленники используют сложную инфраструктуру, включающую 193 RDP-прокси, которые перенаправляют соединения на 34 контролируемых хакерами бэкенд-сервера. Такая архитектура позволяет APT29 эффективно перехватывать и контролировать RDP-сессии жертв.
Возможности и функционал вредоносного ПО
Инструмент PyRDP, написанный на Python, предоставляет атакующим широкий спектр возможностей, включая перехват учетных данных в открытом виде, кражу хешей NTLM, а также незаметное извлечение данных из буфера обмена и общих дисков. Дополнительно, малварь позволяет удаленно выполнять консольные команды и PowerShell-скрипты на компрометированных системах.
Целевые организации и география атак
Среди основных целей APT29 выявлены правительственные учреждения, военные организации, дипломатические структуры, поставщики облачных и ИТ-услуг, телекоммуникационные компании и организации, специализирующиеся на кибербезопасности. Географический охват атак включает США, Францию, Австралию, Украину, Португалию, Германию, Израиль, Грецию, Турцию и Нидерланды.
Механизмы маскировки и защиты инфраструктуры
Для сокрытия своей активности APT29 использует комплексную систему анонимизации, включающую коммерческие VPN-сервисы с поддержкой криптовалютных платежей, выходные узлы сети Tor и резидентные прокси. Эта многоуровневая система затрудняет идентификацию реальных IP-адресов вредоносных серверов.
Эксперты отмечают, что данная техника атак была впервые описана специалистом по информационной безопасности Майком Фелчем в 2022 году, и предположительно именно его исследования послужили основой для разработки текущей стратегии APT29. Организациям рекомендуется усилить мониторинг RDP-соединений, внедрить многофакторную аутентификацию и регулярно обновлять системы безопасности для защиты от подобных угроз.
