近期代号为APT29、UNC2452、Cozy Bear的俄罗斯骇客组织Midnight Blizzard攻击行动频频,上周乌克兰电脑紧急应变团队(CERT-UA)警告,这些骇客向政府、学术界、国防、非政府组织等机构发送高度针对性的钓鱼邮件,有超过100个组织、数千人成为目标。这些钓鱼信的共通点在于,骇客挟带了带有签章的RDP组态档案。研究人员推测,这起攻击的主要目标,是进行情报的收集。
这起攻击行动的范围相当广,英国、欧洲、澳洲、日本是主要目标,但还有数十个国家也出现相关攻击。
值得一提的是,骇客使用的诱饵当中,有部分会冒充微软的员工来引诱收信人上当,但研究人员也看到假冒其他云端服务业者,或是与零信任概念有关的诱饵。
针对钓鱼信里挟带的附件档案,研究人员指出是经Let’s Encrypt凭证进行签章的RDP档,这些组态档案内含多项敏感配置,很有可能引发资讯泄露。
一旦目标系统遭到入侵,将会与攻击者控制的伺服器连线,并以双向对应方式(bidirectionally mapped)将受害电脑连接的周边装置与暂存资料,挂载到攻击者控制的伺服器。这些资源包含本机硬碟、剪贴簿内容、印表机与其他连接到电脑的外部装置,甚至连Windows身分验证功能相关的设施(如智慧卡),也在共享的范围里面。研究人员提及,使用者登入电脑的帐密资料,也可能会因此曝露给骇客。
接著,攻击者便能在受害电脑或是共享的网路硬碟植入恶意软体,尤其是可能部署RAT木马程式等其他工具,以便在RDP连线中断后持续存取受害电脑。