HeptaX: اتصالات RDP غیرمجاز برای عملیات جاسوسی سایبری

security news

آزمایشگاه‌های تحقیقات و اطلاعات Cyble (CRIL)، یک کمپین در حال انجام به نام HeptaX توسط گروه تهدید کشف کرد که طیف گسترده‌ای از کاربران را با استفاده از تکنیک‌های ثابت برای اخذ دسترسی غیرمجاز به دسکتاپ از راه دور در سیستم‌های در معرض خطر هدف قرار می‌داد.

زنجیره حمله پیچیده چند مرحله‌ای به شدت به اسکریپت‌های PowerShell و BAT برای سهولت دانلود و اجرای payloadهای اضافی متکی است، که نشان‌ دهنده ترجیح عامل تهدید (TA) برای روش‌های مبتنی بر اسکریپت برای فرار از تشخیص توسط راه‌حل‌های امنیتی سنتی است.

این حمله شامل ایجاد حساب کاربری مدیریتی بر روی سیستم قربانی و تغییر تنظیمات دسکتاپ از راه دور به منظور کاهش نیازهای احراز هویت، تسهیل دسترسی غیر مجاز RDP برای مهاجم است. کمپین مذکور، ابزار بازیابی رمز عبور معروف دیگری به نام ChromePass را به کار می‌گیرد که گذرواژه‌های ذخیره شده را از مرورگرهای مبتنی بر Chromium جمع‌آوری می‌کند و احتمال به خطر افتادن حساب‌های گسترده‌تر را افزایش می‌دهد.