【安全资讯】俄罗斯黑客利用RDP代理进行中间人攻击窃取数据

概要：

近期，俄罗斯黑客组织APT29（又称“午夜暴风雪”）利用193个远程桌面协议（RDP）代理服务器实施中间人（MiTM）攻击，窃取数据和凭证，并安装恶意负载。这一事件引发了对网络安全的广泛关注，尤其是在政府和军事机构等关键领域。

主要内容：

APT29通过使用PyRDP红队代理工具，扫描受害者的文件系统，后台窃取数据，并在被攻陷的环境中远程执行恶意应用程序。根据Trend Micro的报告，这一攻击活动主要针对政府、军事组织、外交实体、IT和云服务提供商，以及电信和网络安全公司。APT29的目标主要集中在美国、法国、澳大利亚、乌克兰、德国、以色列、希腊、土耳其和荷兰等国。

攻击者通过诱使受害者连接到伪造的RDP服务器，利用钓鱼邮件中的附件来实现连接。一旦连接建立，攻击者便可以访问受害者的本地资源，包括磁盘、网络和打印机，从而获取敏感信息。Trend Micro的最新报告揭示，APT29使用193个RDP代理服务器将连接重定向到34个攻击者控制的后端服务器，监控和拦截RDP会话。

攻击者利用PyRDP工具拦截受害者与远程会话之间的所有通信，使连接看起来合法。该工具能够记录明文凭证或NTLM哈希值，窃取剪贴板数据，后台窃取共享驱动器中的文件，并在新连接上运行控制台或PowerShell命令。研究人员指出，APT29的战术可能受到2022年Mike Felch描述的技术启发，攻击者通过伪装成合法RDP服务器来执行各种恶意活动。