Hacker controlling many screens

APT29(別名「Midnight Blizzard」)として追跡されているロシアのハッキング・グループは、193台のリモート・デスクトップ・プロトコル・プロキシ・サーバのネットワークを使用して、データと認証情報を盗み出し、悪意のあるペイロードをインストールする中間者(MiTM)攻撃を行っています。

このMiTM攻撃は、レッドチームのプロキシツールであるPyRDPを利用して、被害者のファイルシステムをスキャンし、バックグラウンドでデータを窃取し、侵入した環境で不正なアプリケーションをリモートで実行します。

脅威の主体を「Earth Koshchei」として追跡しているトレンドマイクロは、このキャンペーンは政府機関や軍事組織、外交機関、ITおよびクラウドサービスプロバイダー、通信およびサイバーセキュリティ企業を標的としていると報告しています。

このキャンペーンで登録されたドメイン名から、APT29は主に米国、フランス、オーストラリア、ウクライナ、ポルトガル、ドイツ、イスラエル、フランス、ギリシャ、トルコ、オランダのエンティティを標的としていたことがうかがえます。

PyRDPを使ったMitM攻撃

リモートデスクトッププロトコル(RDP)は、Microsoftが開発したプロプライエタリなプロトコルで、ユーザがネットワーク経由で別のコンピュータにリモートアクセスして制御することを可能にします。一般的には、リモート管理、テクニカルサポート、企業環境でのシステムへの接続などに使用されています。

2024年10月、AmazonとCERT-UAは、APT29がフィッシングメールに添付されたファイルを実行した後、被害者を騙して不正なRDPサーバに接続させていることを確認するレポートを発表しました。

接続が設定されると、ディスク、ネットワーク、プリンタ、クリップボード、オーディオデバイス、COMポートなどのローカルリソースが、攻撃者が制御するRDPサーバと共有され、機密情報への無条件アクセスが可能になります。

トレンドマイクロの最新レポートでは、攻撃者が制御する34台のバックエンドサーバに接続をリダイレクトする193台のRDPプロキシサーバを特定し、攻撃者がRDPセッションを監視および傍受できるようにした上で、この活動の詳細を明らかにしています。

ハッカーは、PyRDPと呼ばれるPythonの「中間者」MitMレッドチームツールを使用して、被害者とリモートセッション間のすべての通信を傍受し、接続が正当であるかのように見せかけます。

このツールにより、攻撃者は平文の認証情報やNTLMハッシュを記録し、クリップボードのデータを盗み出し、転送されたファイルを盗み出し、バックグラウンドで共有ドライブからデータを盗み出し、新しい接続でコンソールコマンドやPowerShellコマンドを実行することができます。

研究者は、このテクニックは2022年にMike Felchによって最初に説明され、APT29の戦術に影響を与えた可能性があると説明しています。

「接続を確立すると、不正なサーバーは正規のRDPサーバーの動作を模倣し、セッションを悪用してさまざまな悪意のある活動を実行します。

「主な攻撃経路としては、攻撃者が悪意のあるスクリプトを展開したり、被害者のマシンのシステム設定を変更したりすることが挙げられます。

「さらに、PyRDPプロキシは被害者のファイルシステムへのアクセスを容易にし、攻撃者がディレクトリを閲覧したり、ファイルを読み込んだり変更したり、悪意のあるペイロードを注入したりすることを可能にします。

Overview of the RDP session interception
RDP セッションの傍受
Source:トレンドマイクロ

トレンドマイクロが分析した悪意のある設定の中には、誤解を招くようなAWS Secure Storage Connection Stability Testの接続リクエストをユーザーに提供するものもあります。

Deceptive connection request
不正な接続リクエスト
出典:トレンドマイクロトレンドマイクロ

APT29の回避について研究者は、ロシアのハッカーが、暗号通貨の支払いを受け付ける商用VPN製品、TORの出口ノード、および住宅用プロキシサービスを組み合わせて使用し、不正なRDPサーバーのIPアドレスを不明瞭にしていると報告しています。

Overview of infrastructure obfuscation
インフラの難読化の概要
出典:トレンドマイクロ

不正なRDP設定に対する防御には、悪意のあるメールへの適切な対応が必要ですが、このケースでは、キャンペーン開始前に侵害された正規のアドレスから送信されています。

さらに重要なこととして、Windowsユーザは、RDP接続を既知の信頼できるサーバに対してのみ行い、電子メールの添付ファイル経由で送信されたRDP接続を決して利用しないようにする必要があります。