Chiến Dịch Lừa Đảo RDP: Mối Đe Dọa Đang Trỗi Dậy

09/04/2025
2 mins read
Nội dung
Tổng quan chiến dịch
Phương pháp tấn công
Công cụ và Kỹ thuật
Biện pháp phòng thủ
Kết luận

Tổng quan chiến dịch

  • Tên chiến dịch: “Rogue RDP”
  • Đối tượng: Các tổ chức chính phủ và quân đội châu Âu
  • Gán ghép: Nhóm gián điệp nghi ngờ có liên hệ với Nga, UNC5837
  • Thời gian: Quan sát bắt đầu từ tháng 10 năm 2024

Phương pháp tấn công

  • Email lừa đảo: Email lừa đảo được gửi với các tệp .RDP đính kèm, được giả mạo từ các tổ chức đáng tin cậy như Amazon hoặc Microsoft.
  • Tệp .RDP đã ký: Các tệp .RDP được ký với chứng chỉ SSL hợp lệ để vượt qua các cảnh báo bảo mật và tăng độ tin cậy.
  • Chuyển tiếp tài nguyên: Các tệp .RDP được cấu hình để ánh xạ tài nguyên từ máy của nạn nhân tới máy chủ của kẻ tấn công, cho phép truy cập vào hệ thống tệp, dữ liệu clipboard và biến môi trường.
  • RemoteApp: Kẻ tấn công đã sử dụng RemoteApp để trình bày một ứng dụng có vẻ vô hại, chẳng hạn như “AWS Secure Storage Connection Stability Test,” cho phép chúng lấy cắp tệp và sao chép nội dung clipboard mà không cần quyền kiểm soát trực tiếp trên các máy của nạn nhân.

Công cụ và Kỹ thuật

  • PyRDP: Mặc dù không được liên kết chắc chắn với hoạt động này, công cụ proxy RDP mã nguồn mở PyRDP được nghi ngờ đã được sử dụng cho các hoạt động như ghi session, lấy tệp, và sao chép clipboard. Các khả năng của nó phù hợp với các phương pháp của chiến dịch này.
  • Tính năng RDP nâng cao: Kẻ tấn công đã khai thác các tính năng RDP ít được biết đến như chuyển tiếp tài nguyên và RemoteApp để đạt được mục tiêu mà không cần phải kiểm soát trực tiếp các máy của nạn nhân.

Biện pháp phòng thủ

  • Giới hạn cấp độ mạng: Các tổ chức được khuyến cáo thực hiện các hạn chế RDP cấp độ mạng, vô hiệu hóa chuyển tiếp tài nguyên và thực thi chính sách nhóm nghiêm ngặt đối với tệp .RDP.
  • Ghi chép nâng cao: Ghi chép nâng cao bằng cách sử dụng các công cụ như Sysmon có thể cung cấp cái nhìn tốt hơn về các hoạt động đáng ngờ, chẳng hạn như các thao tác tệp phát sinh từ `mstsc.exe`.
  • Đào tạo người dùng: Người dùng nên được đào tạo để nhận diện và xử lý an toàn các tệp đính kèm email đáng ngờ, đặc biệt là các tệp .RDP từ nguồn không xác định.

Kết luận

Chiến dịch này cho thấy bối cảnh đe dọa đang phát triển, nơi kẻ tấn công tái sử dụng các công cụ và kỹ thuật hiện có theo cách sáng tạo. Việc hiểu và chuẩn bị cho các vector tấn công không chính thống như “Rogue RDP” là điều cần thiết để củng cố phòng thủ doanh nghiệp.