APT29, un gruppo di hacker legato alla Russia, è stato recentemente osservato mentre sfruttava una metodologia di attacco legittima per condurre attacchi informatici attraverso file di configurazione Remote Desktop Protocol (RDP) malevoli. Questo gruppo, noto anche come Earth Koshchei, ha preso di mira governi, forze armate, think tank, ricercatori accademici ed entità ucraine, adottando una tecnica chiamata "rogue RDP". Questa tecnica era stata documentata per la prima volta nel 2022 da Black Hills Information Security.

La tecnica rogue RDP implica che una vittima, ingannata ad aprire un file RDP malevolo, conceda parzialmente il controllo del proprio sistema agli attaccanti. Questo potrebbe portare alla perdita di dati o all'installazione di malware. Le campagne RDP di APT29 sono state evidenziate anche da CERT-UA, Microsoft e Amazon Web Services.

Gli attacchi iniziano con email di spear-phishing progettate per ingannare i destinatari a eseguire il file di configurazione RDP malevolo allegato, che collega la macchina della vittima a un server RDP esterno controllato dal gruppo. Si stima che circa 200 vittime di alto profilo siano state colpite in un solo giorno, il che indica la portata della campagna.

Un componente chiave di questa metodologia di attacco è l'utilizzo di PyRDP, un progetto open-source descritto come uno strumento "Monster-in-the-Middle" basato su Python. PyRDP permette di intercettare e manipolare le connessioni RDP, fungendo da proxy tra l'utente e il server RDP malevolo. Quando la vittima apre il file RDP, la connessione viene reindirizzata al server controllato dagli attaccanti.

Una volta stabilita la connessione, il server rogue simula il comportamento di un server RDP legittimo, permettendo agli attaccanti di eseguire attività malevole, come l'esecuzione di script o la modifica di impostazioni di sistema sulla macchina della vittima. Inoltre, PyRDP consente agli hacker di accedere ai sistemi delle vittime, eseguire operazioni sui file e iniettare payload malevoli. Gli attaccanti possono quindi esfiltrare dati sensibili, come credenziali e informazioni proprietarie, attraverso il proxy.

Una caratteristica distintiva di questo attacco è che la raccolta dei dati avviene tramite un file di configurazione malevolo senza necessità di installare malware personalizzato, consentendo agli attaccanti di operare sotto il radar. Gli attaccanti utilizzano anche livelli di anonimizzazione come nodi di uscita TOR e servizi VPN commerciali per controllare i server RDP e accedere ai server di posta legittimi utilizzati per inviare email di spear-phishing.

Questa campagna dimostra come Earth Koshchei continui a evolvere le sue metodologie, sfruttando vulnerabilità sia vecchie che nuove, oltre a usare strumenti e tecniche sviluppate dai team di red teaming.