APT29 (معروف به Midnight Blizzard یا Earth Koshchei) روسیه به عنوان بخشی از حملات MiTM با استفاده از فایلهای پیکربندی مخرب پروتکل دسکتاپ از راه دور (RDP) و ابزار پراکسی تیم قرمز برای اسکن سیستم فایل قربانیان، سرقت دادهها در پسزمینه و اجرای برنامههای مخرب از راه دور استفاده کردند.
Trend Micro در گزارشی گفت: این فعالیت که سازمانهای دولتی و نظامی، نهادهای دیپلماتیک، ارائهدهندگان خدمات فناوری اطلاعات و ابری، شرکتهای مخابراتی و امنیت سایبری و نهادهای اوکراینی را هدف قرار داده است، مستلزم اتخاذ تکنیک “RDP مخرب” است که قبلا توسط Black Hills در سال 2022 مستند شده بود. «قربانی این تکنیک کنترل نسبی دستگاه خود را به مهاجم میدهد که به طور بالقوه منجر به نشت دادهها و نصب بدافزار میشود» ایمیلهای فیشینگ نیزهای جهت فریب گیرندگان برای راهاندازی فایل پیکربندی RDP مخرب متصل به پیام طراحی شدهاند که باعث میشود دستگاههای آنها از طریق یکی از 193 رله RDP گروه به یک سرور RDP خارجی متصل شوند.
این روش حمله مستلزم استفاده از یک پروژه منبع باز PyRDP (ابزار و کتابخانه مبتنی بر پایتون) است، در مقابل سرور RDP واقعی که توسط نفوذگر کنترل میشود تا خطر شناسایی به حداقل برسد. بنابراین، هنگامی که قربانی فایل RDP با نام HUSTLECON را از پیام ایمیل باز میکند، ضمن آغاز اتصال RDP خروجی به رله PyRDP، سپس نشست را به یک سرور مخرب هدایت میکند.
