APT29-Hacker greifen hochrangige Ziele in Ukraine an
Der mit Russland verbundene Bedrohungsakteur APT29 nutzte eine legitime Red-Teaming-Methode, um Cyberangriffe mit bösartigen Remote-Desktop-Protokoll-Konfigurationsdateien durchzuführen. Ziel war unter anderem die Sabotage militärischer Strukturen in der Ukraine.
Die Bedrohungsgruppe richtet ihre Angriffe auf Regierungen, Streitkräfte, Think-Tanks, Wissenschaftler und andere, vor allem ukrainische Organisationen. Dabei setzen sie eine als „Rogue RDP“ bekannte Technik ein, die erstmals 2022 von Black Hills Information Security beschrieben wurde. Laut einem Bericht von Trend Micro handelt es sich hierbei um eine Methode, die legitime Remote-Desktop-Protokoll-Technologien für bösartige Zwecke missbraucht.
Die Security-Spezialisten Forscher Feike Hacquebord und Stephen Hilt erklären, dass diese Technik es Angreifern ermöglicht, teilweise Kontrolle über die Rechner ihrer Opfer zu erlangen. Dies kann zu schweren Konsequenzen wie Datenverlust oder der Installation von Schadsoftware führen.
Trend Micro bezeichnet die Gruppe als Earth Koshchei und berichtet, dass die Vorbereitungen für die Angriffe bereits im August 2024 begonnen haben. Die Kampagne wurde im Oktober von CERT-UA (Computer Emergency Response Team of Ukraine), Microsoft und Amazon Web Services (AWS) aufgedeckt.
Die Angriffe erfolgten über Spear-Phishing-E-Mails, die dazu dienen sollten, die Empfänger dazu zu bringen, eine bösartige RDP-Konfigurationsdatei auszuführen. Diese Datei leitete die Rechner der Opfer auf einen von 193 RDP-Relays der Angreifer um und verband sie letztlich mit einem ausländischen Server. Innerhalb eines einzigen Tages wurden etwa 200 hochrangige Ziele angegriffen, was das enorme Ausmaß der Kampagne verdeutlicht.
Open-Source-Tool mit tragender Rolle
Die Technik basiert auf einem Open-Source-Tool namens PyRDP. Dieses Python-Programm dient als „Monster-in-the-Middle“-Tool, das zwischen den Rechnern der Opfer und dem vom Angreifer kontrollierten Server geschaltet wird. So können die Angreifer die Kommunikation überwachen, manipulieren und ihre Aktivitäten vor Entdeckung schützen.
Wenn ein Opfer die RDP-Datei mit dem Codenamen HUSTLECON aus der E-Mail öffnet, wird eine Verbindung zum PyRDP-Relay-Server hergestellt. Dieser leitet die Sitzung anschließend an einen bösartigen Server weiter.
Der bösartige Server verhält sich so, als wäre er ein legitimer Remote-Desktop-Protokoll-Server, und nutzt die Sitzung für verschiedene schädliche Aktionen. Laut den Forschern besteht eine der Hauptmethoden darin, dass der Angreifer bösartige Skripte ausführt oder die Systemeinstellungen des Opfers verändert.
Ferner erlaubt der PyRDP-Proxyserver dem Angreifer, auf die Systeme des Opfers zuzugreifen. Er kann Dateien manipulieren, schädliche Software einschleusen und schließlich die kompromittierte Sitzung ausnutzen, um sensible Informationen zu stehlen. Dazu gehören insbesondere Anmeldedaten und andere vertrauliche Daten, die über den Proxy exfiltriert werden.
Bösartige Konfigurationsdatei als Ausgangspunkt
Bemerkenswert an diesem Angriff ist, dass die Datenerfassung allein durch die Nutzung einer bösartigen Konfigurationsdatei ermöglicht wird. Dadurch wird der Einsatz von spezieller Schadsoftware überflüssig, was es den Angreifern erleichtert, unentdeckt zu bleiben.
Ein weiteres auffälliges Merkmal ist die Nutzung von Anonymisierungstechniken wie TOR-Exit-Nodes, um die Kontrolle über die RDP-Server zu verschleiern. Außerdem greifen die Angreifer auf private Proxy-Anbieter und kommerzielle VPN-Dienste zurück, um Zugang zu legitimen Mail-Servern zu erhalten, die für den Versand der Spear-Phishing-E-Mails verwendet werden.
„Werkzeuge wie PyRDP verstärken den Angriff, indem sie das Abfangen und Manipulieren von Remote-Desktop-Verbindungen ermöglichen“, erklären die Forscher. PyRDP erlaubt es den Angreifern beispielsweise, auf freigegebene Laufwerke des Opfers zuzugreifen, deren Inhalte zu durchsuchen und diese direkt auf ihren eigenen Rechnern zu speichern. Dies macht die Datenexfiltration schnell und effektiv.
Die Gruppe Earth Koshchei entwickelt kontinuierlich neue Methoden für ihre Spionagekampagnen. Sie nutzt nicht nur alte und neue Schwachstellen, um einen ersten Zugang zu ihren Zielen zu erhalten, sondern greift auch auf Methoden und Werkzeuge zurück, die von Red Teams entwickelt werden.