Експерти з кібербезпеки компанії Trend Micro розкрили масштабну кампанію кібершпигунства, яку проводить відоме хакерське угруповання APT29 (також відоме як Midnight Blizzard та Earth Koshchei). Зловмисники розгорнули безпрецедентну мережу з 193 RDP-проксі серверів для здійснення витончених атак типу “людина посередині” (Man-in-the-Middle, MitM).
Технічна інфраструктура та механізми атаки
Дослідження виявило використання спеціалізованого інструменту PyRDP, який спочатку був розроблений для легітимного тестування на проникнення. Зловмисники створили складну інфраструктуру, де 193 RDP-проксі сервери перенаправляють з’єднання на 34 контрольованих хакерами бекенд-сервери. Така архітектура дозволяє APT29 ефективно перехоплювати та контролювати віддалені сесії користувачів.
Функціональні можливості шкідливого ПЗ
Інструмент PyRDP, написаний мовою Python, надає зловмисникам широкий спектр можливостей для кіберзлочинів. Серед основних функцій варто відзначити: перехоплення облікових даних у відкритому вигляді, викрадення NTLM-хешів та приховане вилучення даних з буфера обміну. Додатково, шкідливе ПЗ дозволяє віддалено виконувати консольні команди та PowerShell-скрипти на скомпрометованих системах.
Цільові організації та географія кібератак
APT29 зосереджує свої атаки на стратегічно важливих об’єктах, включаючи урядові установи, військові організації, дипломатичні структури та постачальників хмарних послуг. Географія атак охоплює десять країн: США, Францію, Австралію, Україну, Португалію, Німеччину, Ізраїль, Грецію, Туреччину та Нідерланди.
Методи приховування злочинної діяльності
Для маскування своєї активності хакери використовують багаторівневу систему анонімізації. Вона включає комерційні VPN-сервіси з підтримкою криптовалютних платежів, вихідні вузли мережі Tor та резидентні проксі-сервери. Така складна структура суттєво ускладнює виявлення реальних IP-адрес зловмисників.
Фахівці з кібербезпеки відзначають, що подібна техніка атак була вперше описана експертом Майком Фелчем у 2022 році. Для захисту від таких загроз організаціям рекомендується впровадити комплекс заходів: посилити моніторинг RDP-підключень, застосувати багатофакторну автентифікацію та забезпечити регулярне оновлення систем безпеки. Особливу увагу слід приділити навчанню персоналу щодо виявлення ознак компрометації та правил безпечного віддаленого доступу.
