Le groupe de piratage russe connu sous le nom d’APT29 (alias « Midnight Blizzard ») utilise un réseau de 193 serveurs proxy de protocole de bureau à distance pour effectuer des attaques de l’homme du milieu (MiTM) afin de voler des données et des informations d’identification et d’installer des charges utiles malveillantes.
Les attaques MiTM ont utilisé l’outil proxy PyRDP red team pour analyser les systèmes de fichiers des victimes, voler des données en arrière-plan et exécuter à distance des applications malveillantes sur l’environnement piraté.
Trend Micro, qui suit les acteurs de la menace sous le nom de « Earth Koshchei », rapporte que cette campagne cible les organisations gouvernementales et militaires, les entités diplomatiques, les fournisseurs de services informatiques et cloud, ainsi que les entreprises de télécommunications et de cybersécurité.
Les noms de domaine enregistrés pour la campagne suggèrent qu’APT29 ciblait principalement des entités aux États-Unis, en France, en Australie, en Ukraine, au Portugal, en Allemagne, en Israël, en France, en Grèce, en Turquie et aux Pays-Bas.
Utilisation de PyRDP pour les attaques MitM
Remote Desktop Protocol (RDP) est un protocole propriétaire développé par Microsoft qui permet aux utilisateurs d’accéder et de contrôler à distance un autre ordinateur via un réseau. Il est couramment utilisé pour l’administration à distance, le support technique et la connexion aux systèmes dans les environnements d’entreprise.
En octobre 2024, Amazon et CERT-UA ont publié des rapports confirmant qu’APT29 incitait les victimes à se connecter à des serveurs RDP malveillants après avoir exécuté un fichier joint à des e-mails de phishing.
Une fois la connexion établie, les ressources locales, y compris les disques, les réseaux, les imprimantes, le presse-papiers, les périphériques audio et les ports COM, sont partagées avec le serveur RDP contrôlé par l’attaquant, leur permettant un accès inconditionnel aux informations sensibles.
Le dernier rapport de Trend Micro révèle plus de détails sur cette activité après avoir identifié 193 serveurs proxy RDP qui ont redirigé les connexions vers 34 serveurs backend contrôlés par l’attaquant, permettant aux attaquants de surveiller et d’intercepter les sessions RDP.
Les pirates utilisent un outil Python MitM red team « man-in-the-middle » appelé PyRDP pour intercepter toutes les communications entre la victime et la session distante, permettant à la connexion de paraître légitime.
L’outil permet aux attaquants d’enregistrer des informations d’identification en texte brut ou des hachages NTLM, de voler des données du presse-papiers, de voler des fichiers transférés, de voler des données à partir de lecteurs partagés en arrière-plan et d’exécuter des commandes console ou PowerShell sur de nouvelles connexions.
Les chercheurs expliquent que cette technique a été décrite pour la première fois par Mike Felch en 2022, qui a peut-être inspiré la tactique d’APT29.
« Lors de l’établissement de la connexion, le serveur malveillant imite le comportement d’un serveur RDP légitime et exploite la session pour mener diverses activités malveillantes », explique Trend Micro
« Un vecteur d’attaque principal implique que l’attaquant déploie des scripts malveillants ou modifie les paramètres système sur la machine de la victime. »
« De plus, le proxy PyRDP facilite l’accès au système de fichiers de la victime, permettant à l’attaquant de parcourir les répertoires, de lire ou de modifier des fichiers et d’injecter des charges utiles malveillantes.
Parmi les configurations malveillantes analysées par Trend Micro, il y en a également une qui sert à l’utilisateur une demande de connexion de test de stabilité de connexion AWS Secure Storage trompeuse.
En ce qui concerne l’évasion d’APT29, les chercheurs rapportent que les pirates russes utilisent une combinaison de produits VPN commerciaux acceptant les paiements en crypto-monnaie, de nœuds de sortie TOR et de services proxy résidentiels pour masquer les adresses IP des serveurs RDP voyous.
La défense contre les configurations RDP malveillantes nécessite une bonne réponse aux e-mails malveillants, qui, dans ce cas, ont été envoyés à partir d’adresses légitimes compromises avant le lancement de la campagne.
Plus important encore, les utilisateurs de Windows ne doivent établir des connexions RDP qu’avec des serveurs connus et de confiance et ne jamais utiliser de connexions RDP envoyées via des pièces jointes à un e-mail.