Earth Koshchei 的流氓 RDP 活动: 针对政府和企业的复杂 APT 攻击
趋势科技公布了威胁组织 Earth Koshchei 开展的大规模流氓远程桌面协议 (RDP) 活动。Earth Koshchei 以间谍活动而闻名,他们利用鱼叉式网络钓鱼电子邮件和恶意 RDP 配置文件来入侵包括政府、军事组织和智囊团在内的高知名度目标。 据描述,该攻击方法涉及 “RDP 中继、恶意 RDP 服务器和恶意 RDP 配置文件”,利用红队技术达到恶意目的。报告称,这种方法使攻击者能够获得受害者机器的部分控制权,导致 “数据泄露和恶意软件安装”。 该活动在 2024 年 10 月 22 日达到顶峰,当时向包括外交和军事实体在内的各种目标发送了数百封鱼叉式网络钓鱼电子邮件。这些电子邮件诱骗收件人打开恶意 RDP 配置文件,将他们的机器连接到地球 Koshchei 的 193 个 RDP 中继站之一。 地球 Koshchei 在 2024 年 8 月至 10 月间注册了 200 多个域名,展示了精心策划的活动。这些域名通常模仿合法的服务或组织,如云提供商和政府实体。此外,该组织还使用 TOR、VPN 和住宅代理等匿名层来掩盖其行动,并使归因复杂化。 该基础设施包括 193 个代理服务器和 34 个流氓 RDP 后端服务器,它们是数据外泄和间谍活动的入口点。 地球 Koshchei 展示了重新利用合法红队工具的敏锐能力。通过采用 2022 年 Black Hills 信息安全博客中描述的技术,攻击者使用 PyRDP 等工具拦截和操纵 RDP 连接。这使他们能够浏览受害者的文件系统、渗出数据,甚至打着 “AWS 安全存储连接稳定性测试 ”等合法程序的幌子运行恶意应用程序。 趋势科技解释说:“PyRDP代理可确保窃取的任何数据或执行的任何命令都会被导回攻击者,而不会引起受害者的警觉。” 该组织的目标受害者多种多样,包括政府、军队、云提供商和学术研究人员。Earth Koshchei(又称 APT29 或 Midnight Blizzard)的典型战术、技术和程序(TTPs)以及受害者研究都支持将此次活动归咎于该组织。 报告指出:“Earth Koshchei 的特点是持续针对外交、军事、能源、电信和 IT 公司。据信,该组织与俄罗斯对外情报局(SVR)有关联。” 为抵御此类攻击,企业应该: 阻止出站 RDP 连接: 将 RDP 流量限制在受信任的服务器上。 检测恶意 RDP 文件: 使用能够识别恶意 RDP 配置文件的工具,如趋势科技的 Trojan.Win32.HUSTLECON.A 检测系统。 加强电子邮件安全: 实施过滤器,防止发送可疑附件,尤其是 RDP 配置文件。 转自安全客,原文链接:https://www.anquanke.com/post/id/302885 封面来源于网络,如有侵权请联系删除
RDP 蜜罐瞄准 350 万次暴力攻击
据报道,远程桌面连接对黑客的吸引力非常之大,来自各种 IP 地址的公开连接平均每天超过 37,000 次。 在此阶段,攻击是自动化的。但是一旦获得正确的访问凭据,黑客就会开始手动搜索重要或敏感文件。 黑客蜂拥而至 RDP 使用可从公共 Web 访问的 RDP(即“远程桌面协议”)连接的高交互蜜罐进行的实验表明,攻击者每天的工作时间与上班时间非常相似。 在三个月的时间里,总部位于美国和加拿大的威胁搜寻和响应公司GoSecure的研究人员记录了近 350 万次对其 RDP 蜜罐系统的登录尝试。 GoSecure 的网络安全研究员 Andreanne Bergeron 在加拿大蒙特利尔举行的 NorthSec 网络安全会议上解释说,蜜罐与一个研究项目有关,该项目旨在了解可以转化为预防建议的攻击者策略。 该蜜罐已经断断续续运行了三年多,并稳定运行了一年多,但为演示文稿收集的数据仅代表 2022 年 7 月 1 日至 9 月 30 日之间的三个月。 在此期间,蜜罐被 1,500 多个 IP 地址命中 3,427,611 次。然而,全年的攻击次数达到了 1300 万次登录尝试。 为了刺激攻击者的胃口,研究人员将该系统命名为似乎是银行网络的一部分。 正如预期的那样,妥协尝试依赖于基于多个词典的暴力攻击,最常见的用户名是“Administrator”及其变体(例如短版本、不同的语言或字母大小写)。 但是,在大约 60,000 个案例中,攻击者在尝试找到正确的登录名之前进行了一些侦察,并运行了一些明显不在下面集合中的用户名。 Bergeron 解释说,上图中的三个奇怪的用户名与蜜罐系统有关(RDP 证书和主机的名称,以及托管提供商的名称)。 在前 12 个尝试过的登录名中存在此数据表明,至少有一些黑客没有盲目地测试登录的凭据对,而是首先收集了有关受害者的信息。 Bergeron 告诉我们,系统收集了密码的哈希值,研究人员能够恢复较弱的密码。结果表明,最常见的策略是使用 RDP 证书的变体,其次是“密码”一词的变体和最多十位数字的简单字符串。 将这些统计数据与攻击 IP 地址相关联时,一个有趣的发现是 RDP 证书名称专门用于来自中国和俄罗斯的 IP 的登录尝试。 然而,这并不一定意味着攻击者来自两国,而是他们使用了两个地区的基础设施。 另一个观察结果是,许多攻击者 (15%) 将数千个密码与五个用户名组合在一起。 一个正常的工作日 当黑客开始窥探系统内部以获取有价值的数据时,经过最初的暴力破解阶段后,人为参与攻击变得更加明显。 Bergeron 进一步挖掘数据,为针对蜜罐的 IP 地址创建了一个热图,并注意到该活动形成了一种日常模式,其中有停顿,表明黑客正在休息。 许多活动块跨越 4 小时,最多可达 8 小时,尽管有些会议长达 13 小时。这表明人为干预,至少是为了发动攻击,并且似乎遵循某种时间表。 更重要的是,暴力破解活动在周末停止,这可能表明攻击者将黑客活动视为一项正常工作。 值得注意的是,一旦脚本被适当调整,这些都是自动登录尝试,不需要人工监控。 在一个例子中,Bergeron 注意到攻击之间有八小时的间隔,并推断这可能表明攻击者轮班工作。 在针对目标 (14%) 定制的攻击中以及在每次登录尝试之间增加延迟以模仿真人活动时,也可以看到人性化和复杂程度。 当黑客开始窥探系统内部以获取有价值的数据时,经过最初的暴力破解阶段后,人为参与攻击变得更加明显。 尽管研究人员使用“admin/admin”凭证对降低了蜜罐的登录难度,但 Bergeron 告诉 BleepingComputer,只有 25% 的黑客开始探索机器以查找重要文件。 Bergeron 还表示,蜜罐是空的,这可能就是为什么只有四分之一的攻击者徘徊在搜索数据上的原因。然而,研究的下一步将是用虚假的公司文件填充服务器,并监控攻击者的行动和行动。 为了记录和存储攻击数据,包括对手 RDP 会话的实时视频源,该研究使用了PyRDP ,这是 GoSecure网络安全研究总监兼 NorthSec 会议主席Olivier Bilodeau开发的开源拦截工具。 Andreanne Bergeron今年在 NorthSec 的演讲题为“人与机器:针对远程桌面协议的自动攻击中的人机交互水平”。NorthSec 的 YouTube 频道上提供了会议两个阶段的所有演讲。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/rvEMM7JwOyb3wYS-EVJ3IQ 封面来源于网络,如有侵权请联系删除
黑客通过远程桌面服务安装新型 Matrix 勒索软件变体
MalwareHunterTeam 本周发现了两个新的 Matrix Ransomware 变体,这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密,但其中一种更加先进,可提供更多调试消息并使用密码来擦除可用空间。 根据勒索软件执行时显示的调试消息以及 BleepingComputer 论坛中的各种报告,该勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限,他们将上传安装程序并执行它。 目前有两种不同的 Matrix 版本正在发布。这两种变体都安装在黑客 RDP 上,加密未映射的网络共享,加密时显示状态窗口,清除卷影副本以及加密文件名。不过,这两个变体之间有一些细微差别,第二个变体([RestorFile@tutanota.com])稍微高级一些。这些差异如下所述。 变体 1:[Files 4463@tuta.io] 这种由[ Files4463@tuta.io ]扩展名标识的变体是较不先进的变体。当这个变体正在运行时,它将同时打开以下两个窗口来显示感染的状态。 一个窗口是关于加密的状态消息,另一个窗口是关于网络共享扫描的信息。 当文件被加密时,它会加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名。 例如, test.jpg 会被加密并重命名为 0ytN5eEX-RKllfjug。[ Files4463@tuta.io ]。 该变体还会在每个扫描的文件夹中放置命名为!ReadMe_To_Decrypt_Files!.rtf 的赎金记录。该赎金说明包含用于联系攻击者并进行赎金支付的 Files4463@tuta.io,Files4463@protonmail.ch 和 Files4463@gmail.com 电子邮件地址。 该变体还将桌面背景更改为以下图像。 不幸的是,Matrix Ransomware 的这种变体无法免费解密。 变体 2:[RestorFile@tutanota.com] 第二个变体通过使用[ RestorFile@tutanota.com ]扩展名来标识。虽然这个变体的操作方式与前一个类似,但它有点更先进,因为它具有更好的调试消息,并且在加密完成后利用 cipher 命令覆盖计算机上的所有可用空间。 此外,该变体使用不同的联系人电子邮件地址,不同的扩展名和不同的赎金票据名称。 当这个变体正在运行时,它将利用下列窗口显示感染的状态。 请注意,与前一个版本相比,此版本中显示的日志记录更多。 当文件被加密时,它将加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名到它。 例如, test.jpg 会被加密并重新命名为 0ytN5eEX-RKllfjug [RestorFile@tutanota.com ]。 此变体还会在每个扫描的文件夹中放置名为 #Decrypt_Files_ReadMe#.rtf 的赎金备注。 该赎金说明包含用于联系攻击者并进行赎金支付的 RestorFile@tutanota.com,RestoreFile@protonmail.com 和 RestoreFile@qq.com 电子邮件地址。 它还会将桌面背景更改为以下图像。 在此变体完成加密计算机后,它将执行“ cipher.exe / w:c ”命令以覆盖 C:驱动器上的可用空间。 这是为了防止受害者使用文件恢复工具来恢复他们的文件。 不幸的是,像以前的版本一样,这个版本不能免费解密。 如何保护您免受 Matrix Ransomware 的侵害 为了保护自己免受勒索软件攻击,一定要使用良好的计算习惯和安全软件。首先,您应始终拥有可靠且经过测试的数据备份,以备在紧急情况下可以恢复,如勒索软件攻击。 由于 Matrix Ransomware 可能通过黑客入侵的远程桌面服务进行安装,因此确保其正确锁定非常重要。这包括确保没有运行远程桌面服务的计算机直接连接到 Internet。而应将运行远程桌面的计算机放在 VPN 后面,以便只有那些在您的网络上拥有 VPN 帐户的人才能访问它们。 设置适当的帐户锁定策略也很重要,这样可以使帐户难以被强制通过远程桌面服务强制执行。 您还应该拥有安全软件,其中包含行为检测以对抗勒索软件,而不仅仅是签名检测或启发式检测。例如,Emsisoft 反恶意软件和 Malwarebytes 反恶意软件都包含行为检测功能,可以防止许多(如果不是大多数)勒索软件感染对计算机进行加密。 最后但并非最不重要的一点是,确保您练习以下安全习惯,在许多情况下这些习惯是所有最重要的步骤: – 备份 – 如果您不知道是谁发送的,请不要打开附件。 – 直到您确认该人实际寄给您的附件才开启附件, – 使用 VirusTotal 等工具扫描附件。 – 确保所有的 Windows 更新一旦出来就安装好! 另外请确保您更新所有程序,特别是 Java,Flash 和 Adobe Reader。 较旧的程序包含恶意软件分发者通常利用的安全漏洞。 因此重要的是让他们更新。 – 确保您使用的是安装了某种使用行为检测或白名单技术的安全软件。 白名单可能是一个痛苦的训练,但如果你愿意与它一起存货,可能会有最大的回报。 – 使用硬密码并且不要在多个站点重复使用相同的密码。 稿源:东方安全,封面源自网络;
远程桌面协议 CredSSP 出现漏洞,影响所有版本的 Windows
RDP 和 WInRM 中使用的 CredSSP 协议(安全加密 Windows 用户远程登录过程)中出现严重漏洞,影响所有版本的 Windows。 远程攻击者额可以利用这个漏洞,使用 RDP 和 WinRM 窃取数据并运行恶意代码。这个漏洞由网络安全公司 Preempt Security 发现,编号为 CVE-2018-0886,是一个逻辑加密漏洞,可被中间人攻击者利用,通过 WiFi 或物理接触网络来窃取 session 认证数据,发起远程进程调用攻击。 如果用户和服务器通过 RDP 和 WinRM 连接协议进行认证,中间人攻击就能执行远程命令,入侵企业网络。而由于 RDP 是远程登录中最常用的应用,几乎所有企业用户都在使用,因此,这个漏洞可造成大范围影响。 目前,微软已经发布相关更新补丁,用户应尽快下载更新,同时可以禁用 RDP 等相关应用端口,尽可能少使用特权账户,多使用非特权账户。 稿源:freebuf,封面源自网络;
美国一家医院被迫支付 5.5 万美元赎金,以摆脱“SamSam” 勒索软件
外媒 1 月 16 日消息,美国印第安纳州汉考克地区一家医院(Hancock Health)被迫向黑客组织支付了价值 5.5 万美元的比特币赎金,以尽快摆脱勒索软件 “ SamSam ” 对其计算机设备的控制。据悉,该黑客组织通过暴力破解 RDP 端口,达到在更多的计算机设备上部署 SamSam 勒索软件的目的。 上周四( 1 月 11 日),Hancock Health 的工作人员发现黑客组织影响了医院的电子邮件和健康记录,但并没有窃取患者数据 。随后,经过相关研究人员展开调查发现,该组织使用 SamSam 勒索软件加密文件,并将文件重命名为“ I’m sorry ”。其实 SamSam 早在两年前就已出现过, 主要通过开放的 RDP 端口进行传播。 目前 Hancock Health 紧急采取了应对措施,例如通过 IT 人员介入暂停了整个网络;要求员工关闭所有计算机,以避免勒索软件传播到其他计算机;更有传言称医护人员利用笔和纸代替计算机来继续工作。 Hancock Health 表示尽管文件都有备份,但从备份中恢复文件很麻烦,因为要把所有的系统投入运行需要几天甚至几周的时间,以至于不得不向黑客组织支付赎金。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
黑客于暗网正出售企业内部 RDP 远程桌面连接凭证,售价最低 3 美元
安全人员近期发现暗网里的部分网站正在销售企业内部设备的 RDP 远程桌面协议的凭证,以便直接访问目标企业内网。据悉,这种不需要借助恶意软件和木马病毒就可窥探企业内网的凭证,目前正在暗网逐渐兴起并产生市场竞争。 据悉,这些 RDP 凭证涉及卫生保健以及教育和企业组织等多种类型,最低价格仅仅只需要 3 美元即可。此外,远程桌面协议允许个人通过网络连接后直接访问对应设备。然而,通常此类设备都是虚拟桌面或者远程管理系统。因此攻击者如果可借助凭证访问 RDP 的话,即可顺利进入内网窃取数据,且企业并不会察觉任何异常情况。另外,依据操作系统的不同,存在售价差异。例如:Windows XP 系统的 RDP 凭证最低仅只需要 3 美元即可,而 Windows 10 系统的 RDP 凭证则需 9 美元起。 经调查发现,成立于 2016 年年初的 UAS 终极匿名服务网站是暗网里销售 RDP 远程桌面连接凭证最活跃且最受欢迎的商店。据称,UAS 商店可以提供涵盖各个国家不同操作系统的 RDP 凭证,其高峰期掌握超过 35,000 份 RDP 凭证可提供出售,其中包括中国和巴西以及美国的数万台设备的凭证,而价格最高的 RDP 凭证也仅仅只需要 15 美元。 暗网和低下黑市中并不是只有 UAS 商店提供 RDP 凭证销售,实际上诸如 xDedic 等同行竞争对手亦在销售凭证。xDedic 的 RDP 凭证价格从 10美元到 100 美元不等,但研究人员称似乎并未发现这些凭证与 UAS 的有太大区别。但不可否认的是 RDP 凭证已经逐步形成了活跃的黑色市场,这对于多数企业和机构来说绝对不是什么好事情。很多企业的 RDP 凭证实际已经泄露但却毫无察觉,在这种情况下攻击者借助 RDP 潜伏和窃取数据可持续很久。目前,研究人员建议使用此类协议的企业和机构应定期检查系统安全性, 尤其是凭证密码更应该定期更换防止泄露。 稿源:蓝点网,封面源自网络;
Rapid7 发布警告:远程桌面协议( RDP )在线暴露数百万 Windows 终端
据外媒 8 月 14 日报道,网络安全公司 Rapid7 专家近期通过分析远程桌面协议( RDP )端点的数据时发现 RDP 在线暴露逾了 410 万台 Windows 终端。 Rapid7 曾于今年 5 月发表一份研究报告,揭示数百万设备因 SMB、Telnet、RDP 与其他类型的配置错误遭受网络攻击。相关数据显示, 今年第一季度的 RDP 开放终端与 2016 年初( 1080 万台 )相比 “ 减少 ” 360 万台。 安全专家指出,即使用户在 Windows 上默认禁用 RDP 协议,它通常也会允许管理人员在内部网络中运行与维护。据悉,微软自 2002 年以来就已处理过数十处 RDP 漏洞,其中包括影子经纪人曾在线曝光的安全漏洞 EsteemAudit(CVE-2017-0176),旨在攻击远程桌面协议服务( 端口 3389 )。远程桌面协议攻击是恶意软件分发的特权攻击载体。目前,多数恶意软件已使用远程桌面协议(CrySiS、 Dharma 与 SamSam)作为攻击来源系统。 Rapid7 研究报告显示,多数暴露的远程桌面协议端点(28.8%,或超过 110万)位于美国,其次是中国(17.7%,约 73 万)、德国(4.3%,约 177,000)、巴西(3.3%,约 137,000)与韩国(3.0%,约 123,000)。然而,专家注意到,与暴露的 RDP 端点相关联的 IP 地址组织,多数属于亚马逊(7.73%),其次是阿里巴巴(6.8%)、微软(4.96%)、中国电信(4.32%)等。 Rapid7 报告显示,目前超过 83% 的远程桌面协议终端愿意继续使用 CredSSP 作为安全协议验证与保护 RDP 会话,而逾 15% 的终端因极易遭受中间人攻击不再继续支持 SSL / TLS 协议。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。