被追踪为 APT29（又名“午夜暴雪”）的俄罗斯黑客组织正在使用由 193 个远程桌面协议代理服务器组成的网络执行中间人 (MiTM) 攻击，以窃取数据和凭据并安装恶意负载。

MiTM 攻击利用 PyRDP 红队代理工具扫描受害者的文件系统、在后台窃取数据并在受感染的环境中远程执行恶意应用程序。

趋势科技 (Trend Micro) 将该威胁组织追踪为“Earth Koshchei”，报告称，此次活动的目标是政府和军事组织、外交实体、IT 和云服务提供商以及电信和网络安全公司。

此次活动注册的域名表明，APT29 主要针对美国、法国、澳大利亚、乌克兰、葡萄牙、德国、以色列、法国、希腊、土耳其和荷兰的实体。

使用PyRDP进行MitM攻击

远程桌面协议 (RDP) 是 Microsoft 开发的专有协议，允许用户通过网络远程访问和控制另一台计算机。它通常用于远程管理、技术支持和连接企业环境中的系统。

2024 年 10 月，亚马逊和 CERT-UA 发布报告，证实 APT29 在运行附加在网络钓鱼电子邮件中的文件后诱骗受害者连接到恶意 RDP 服务器。

一旦建立连接，本地资源（包括磁盘、网络、打印机、剪贴板、音频设备和 COM 端口）就会与攻击者控制的 RDP 服务器共享，使他们能够无条件访问敏感信息。

趋势科技的最新报告在确定 193 个 RDP 代理服务器将连接重定向到 34 个攻击者控制的后端服务器后，揭示了有关此活动的更多详细信息，从而使攻击者可以监视和拦截 RDP 会话。

黑客使用名为PyRDP的 Python“中间人”MitM 红队工具来拦截受害者与远程会话之间的所有通信，从而使连接看起来合法。

该工具允许攻击者记录纯文本凭据或 NTLM 哈希、窃取剪贴板数据、窃取传输的文件、在后台从共享驱动器窃取数据以及在新连接上运行控制台或 PowerShell 命令。

研究人员解释称，这种技术最早由 Mike Felch 于 2022 年描述，他可能启发了 APT29 的策略。

趋势科技解释称：“建立连接后，恶意服务器会模仿合法 RDP 服务器的行为，并利用会话进行各种恶意活动。”

“主要的攻击媒介涉及攻击者部署恶意脚本或更改受害者机器上的系统设置。”

“此外，PyRDP 代理有助于访问受害者的文件系统，使攻击者能够浏览目录、读取或修改文件以及注入恶意负载。

RDP 会话拦截，来源：趋势科技

在趋势科技分析的恶意配置中，还有一种向用户提供误导性的 AWS 安全存储连接稳定性测试连接请求。

欺骗性连接请求，来源：趋势科技

关于 APT29 的逃避措施，研究人员报告称，俄罗斯黑客使用接受加密货币支付的商业 VPN 产品、TOR 出口节点和住宅代理服务的组合来掩盖恶意 RDP 服务器的 IP 地址。

基础设施混淆，来源：趋势科技

防御恶意 RDP 配置需要对恶意电子邮件做出良好的响应，在本例中，这些恶意电子邮件是从活动启动前已被破坏的合法地址发送的。

更重要的是，Windows 用户应该只与已知的、受信任的服务器建立 RDP 连接，并且切勿使用通过电子邮件附件发送的 RDP 连接。

技术报告：https://www.trendmicro.com/en_us/research/24/l/earth-koshchei.html

新闻链接：

https://www.bleepingcomputer.com/news/security/russian-hackers-use-rdp-proxies-to-steal-data-in-mitm-attacks/