En una sofisticada campaña de espionaje dirigida a gobiernos europeos y agencias militares, los piratas informáticos, que se cree que están conectados con los actores nacionales rusos, han aprovechado las características menos conocidas del Protocolo de escritorio (RDP) de Windows para impregnar el sistema.
El Grupo de Inteligencia de Amenazos de Google (GTIG) ha identificado una nueva ola de ataques cibernéticos y se atribuye a un grupo llamado UNC5837.
La campaña comenzó en octubre de 2024 y adopta un enfoque único al enviar correos electrónicos de phishing con archivos adjuntos de archivos .RDP. Cuando se ejecutan, estos archivos inician una conexión RDP desde la máquina de la víctima al servidor de control del atacante sin un banner típico de advertencia de sesión interactiva.
Este método, conocido por GTIG como “Rogue RDP”, permite a todos los atacantes acceder al sistema de archivos de la víctima, los datos del portapapeles y potencialmente variables del sistema, bajo la apariencia de verificaciones de aplicaciones legítimas.
La seguridad de la aplicación ya no es un juego defensivo, es tiempo seguro -> Seminario web gratuito
Los atacantes han colaborado con las agencias seguras de comunicaciones y seguridad de la información en la región de Ucrania para enviar correos electrónicos de organizaciones conocidas como Amazon y Microsoft.
Muestra de campaña
Redirección de recursos y remortap
El correo electrónico contiene un archivo .RDP firmado firmado con un certificado SSL válido, evitando las medidas de seguridad que alertan a los usuarios de los riesgos potenciales.
Estos archivos están configurados para mapear los recursos de la máquina de la víctima al servidor del atacante.
Redirección de unidad y portapapeles: un atacante otorgado a un atacante expone el acceso de lectura/escritura a todas las unidades de víctimas, el sistema de archivos, las variables de entorno y los datos del portapapeles, incluidas las contraseñas codificadas por el usuario. La configuración de la máquina virtual exacerbó el riesgo ya que la sincronización del portapapeles entre los sistemas host e invitado expande el robo. RemoteApps engañosos: en lugar del acceso completo de escritorio, la víctima vio una aplicación en una ventana llamada “Prueba de estabilidad de conexión de almacenamiento seguro de AWS”. Alojado completamente en un servidor de atacantes, este remotepp fingió ser una herramienta local mientras opera dentro del canal cifrado de una sesión RDP.
En particular, el atacante utilizó las variables de entorno de Windows (%UserProfile%,%ComputerName%) como argumentos de línea de comandos para REMOP, lo que permite el reconocimiento sin implementar malware.
RDP malicioso
Estas características reducen la huella del ataque, lo que dificulta que los respondedores de incidentes detecten y analicen las violaciones.
GTIG también destacó el uso potencial de herramientas proxy RDP como PyRDP, que puede automatizar tareas como eliminación de archivos, captura de portapapeles y secuestro de sesión.
Herramienta PyRDP
Aunque hay una falta de evidencia directa que vincule PYRDP con esta campaña en particular, su funcionalidad coincide con el vector de ataque observado.
Robar las credenciales utilizadas para autenticarse en el servidor RDP. Captura el contenido del portapapeles del usuario. Esto puede contener información confidencial como contraseñas. No está directamente en la máquina de la víctima, pero se ejecuta en el servidor RDP.
Medidas de defensa:
La detección sigue siendo difícil debido al registro nativo limitado. Los indicadores clave incluyen:
HECHO DE REGISTRO: HKEY_USERS \ … \ Terminal Server atacante del cliente IPS y nombre de usuario \ Archivos TEMP del servidor: archivos .TMP generados por MSTSC en%AppData%\ Local \ Temp Sospeche Process: Archivos originados desde MSTSC.EXE1
Para mitigar el riesgo, Microsoft recomienda:
Aplicación de la autenticación a nivel de red (NLA) para conexiones RDP El descubrimiento de esta campaña destaca la necesidad de que las organizaciones mejoren sus defensas.
Desactiva la redirección de la unidad y restringe el acceso al portapapeles
Las organizaciones deben deshabilitar la ejecución de archivos .RDP sin firmar y solo permitir conexiones de editores confiables. El registro y el monitoreo mejorados de los eventos de creación de archivos anómalos derivados de las sesiones de RDP pueden ayudar a detectar este tipo de intrusión. Los usuarios deben recibir capacitación para reconocer y procesar de forma segura los archivos adjuntos de correo electrónico sospechosos, especialmente los archivos .RDP de fuentes desconocidas.
A medida que evolucionan las tecnologías como RDP, también lo hacen las tácticas cibercriminales. El despliegue de herramientas como PyRDP en posibles ataques destaca una tendencia creciente que hace que los atacantes aprovechen las capacidades del sistema existentes para el sigilo y el acceso persistente, lo que hace que las actualizaciones continuas a las prácticas de seguridad sean esenciales para todas las organizaciones.
Investigue los enlaces maliciosos del mundo real y los ataques de phishing con búsqueda de inteligencia de amenazas: pruebe 50 solicitudes gratuitas
