Експерти з кібербезпеки компанії Trend Micro розкрили масштабну кампанію кібершпигунства, яку проводить хакерське угруповання APT29 (також відоме як Midnight Blizzard та Earth Koshchei). Зловмисники розгорнули мережу з 193 RDP-проксі серверів для здійснення атак типу «людина посередині» (Man-in-the-Middle, MitM).
Технічна інфраструктура та механізми атаки
Дослідження виявило використання спеціалізованого інструменту PyRDP, який спочатку був розроблений для легітимного тестування на проникнення. Зловмисники створили складну інфраструктуру, де 193 RDP-проксі сервери перенаправляють з’єднання на 34 контрольованих хакерами бекенд-сервери. Така архітектура дозволяє APT29 ефективно перехоплювати та контролювати віддалені сесії користувачів.
Функціональні можливості шкідливого ПЗ
Інструмент PyRDP, написаний мовою Python, надає зловмисникам широкий спектр можливостей. Серед основних функцій: перехоплення облікових даних у відкритому вигляді, викрадення NTLM-хешів та приховане вилучення даних з буфера обміну. Додатково шкідливе ПЗ дозволяє віддалено виконувати консольні команди та PowerShell-скрипти на скомпрометованих системах.
Цільові організації та географія кібератак
APT29 зосереджує атаки на стратегічно важливих об’єктах, включаючи урядові установи, військові організації, дипломатичні структури та постачальників хмарних послуг. Географія атак охоплює десять країн: США, Францію, Австралію, Україну, Португалію, Німеччину, Ізраїль, Грецію, Туреччину та Нідерланди.
Хто перебуває під загрозою
Основними цілями APT29 є організації, що використовують RDP для віддаленого доступу без належного захисту — урядові агенції, дипломатичні представництва, постачальники хмарних послуг та ОПК. Особливо вразливі організації, де співробітники підключаються до корпоративних ресурсів через RDP без багатофакторної автентифікації. Для України загроза є особливо актуальною з огляду на присутність у списку цілей та поточну геополітичну ситуацію. Кампанія також зачіпає організації, зазначені в попередженнях CISA.
Методи приховування злочинної діяльності
Для маскування своєї активності хакери використовують багаторівневу систему анонімізації. Вона включає комерційні VPN-сервіси з підтримкою криптовалютних платежів, вихідні вузли мережі Tor та резидентні проксі-сервери. Така складна структура суттєво ускладнює виявлення реальних IP-адрес зловмисників.
Що зробити для захисту
- Впровадити багатофакторну автентифікацію (MFA) на всіх RDP-підключеннях — це ключовий захід проти атак APT29 типу MitM
- Обмежити доступ до RDP виключно через VPN корпоративного рівня; не відкривати порт 3389 безпосередньо в інтернет
- Посилити моніторинг RDP-сесій: аналізувати аномальний час підключення, незвичні вихідні IP-адреси та масові запити до буфера обміну
- Блокувати відомі вихідні вузли Tor та резидентні проксі на периметрі мережі
- Регулярно оновлювати системи безпеки та навчати персонал виявляти ознаки компрометації RDP-сесій
Фахівці з кібербезпеки відзначають, що подібна техніка атак була вперше описана у 2022 році. Організаціям, що використовують RDP у виробничому середовищі, слід негайно перевірити захист своєї інфраструктури на відповідність рекомендаціям щодо протидії атакам типу MitM.
