Chiến Dịch Lừa Đảo

09/04/2025
2 mins read

Bài viết đề cập đến một chiến dịch lừa đảo tinh vi được gọi là “Rogue RDP”, trong đó những kẻ tấn công lợi dụng các tệp RDP của Windows Remote Desktop Protocol (RDP) để thực hiện các cuộc tấn công truy cập từ xa trái phép.

Nội dung
Tổng quan chiến dịch
Phương thức tấn công
Công cụ và kỹ thuật
Biện pháp phòng thủ
Kết luận

Tổng quan chiến dịch

  • Tổ chức mục tiêu: Chiến dịch này chủ yếu nhắm vào các tổ chức chính phủ và quân sự châu Âu vào cuối năm 2024.
  • Phân tích: Hoạt động này được cho là thuộc về một nhóm gián điệp nghi ngờ có liên hệ với Nga, UNC5837, cho thấy mức độ kỹ thuật tinh vi cao.

Phương thức tấn công

  • Email lừa đảo: Những kẻ tấn công đã gửi email lừa đảo có đính kèm tệp .RDP, được ngụy trang thành các tệp đính kèm liên quan đến dự án từ các tổ chức uy tín như Amazon hoặc Microsoft.
  • Tệp RDP đã ký: Các tệp .RDP được ký bằng các chứng chỉ SSL hợp lệ để vượt qua các biện pháp bảo mật cảnh báo người dùng về các rủi ro tiềm ẩn.
  • Chuyển hướng tài nguyên: Các tệp .RDP được cấu hình để ánh xạ tài nguyên từ máy của nạn nhân đến máy chủ của kẻ tấn công, cho phép họ truy cập hệ thống tệp, dữ liệu clipboard và có thể cả các biến hệ thống của nạn nhân.
  • RemoteApp: Kẻ tấn công đã sử dụng RemoteApp để trình bày một ứng dụng dường như vô hại có tên “AWS Secure Storage Connection Stability Test”, cho phép họ lấy cắp tệp, sao chép nội dung clipboard và thu thập các biến môi trường trong khi duy trì mức độ rõ ràng pháp lý thấp.

Công cụ và kỹ thuật

  • PyRDP: Mặc dù không được liên kết trực tiếp với hoạt động này, công cụ proxy RDP mã nguồn mở, PyRDP, bị nghi ngờ đã được sử dụng để tự động hóa các hoạt động như ghi lại phiên, thu thập tệp và sao chép clipboard. PyRDP có thể chặn NTLM hashes và cho phép người tấn công chiếm quyền phiên, phù hợp với các phương pháp của chiến dịch này.

Biện pháp phòng thủ

  • Giới hạn ở cấp mạng: Các tổ chức được khuyến nghị triển khai các hạn chế RDP ở cấp mạng, vô hiệu hóa chuyển hướng tài nguyên, và thực thi các chính sách nhóm nghiêm ngặt đối với việc thực thi tệp .RDP.
  • Ghi log nâng cao: Ghi log nâng cao bằng cách sử dụng các công cụ như Sysmon có thể cung cấp cái nhìn tốt hơn về các hoạt động đáng ngờ, chẳng hạn như các hoạt động tệp phát sinh từ `mstsc.exe`.
  • Đào tạo người dùng: Người dùng nên được đào tạo để nhận biết và xử lý an toàn các tệp đính kèm email nghi vấn, đặc biệt là các tệp .RDP từ các nguồn không rõ ràng.

Kết luận

Chiến dịch này làm nổi bật cảnh quan đe dọa đang phát triển, nơi các kẻ tấn công tái sử dụng các công cụ và kỹ thuật hiện có theo những cách sáng tạo. Việc hiểu và chuẩn bị cho các vectơ tấn công không truyền thống như “Rogue RDP” là cần thiết để củng cố khả năng phòng thủ của doanh nghiệp.