Angriffszeitraum und -Ziele
Im Oktober 2024 nutzte der Cyberakteur APT29, auch bekannt als Earth Koshcheis und Midnight Blizzard, das Remote Desktop Protocol (RDP), um zahlreiche Hochwertziele anzugreifen. Bei den Zielen handelt es sich um Regierungs- und militärische Einrichtungen, Think Tanks sowie akademische Forschungseinrichtungen sowohl im Westen als auch in der Ukraine. Die Vorgehensweise des Akteurs wurde bereits 2022 von einem IT-Sicherheitsdienstleister untersucht und beschrieben.
Vorgehensweise der Angreifer
Die schadhaften RDP-Konfigurationsdateien werden mittels Spear-Phishing-E-Mails an potenzielle Ziele versandt. Führt der Empfänger der E-Mail die Datei aus, versucht das lokal installierte RDP-Programm eine Verbindung zwischen dem Opfer-System und einem RDP-Server herzustellen. Gelingt dies, erlangen die Angreifer die Kontrolle über das Opfersystem, können weitere Malware installieren und Daten ausleiten.
Staatliche Zugehörigkeit
Bei APT29 handelt es sich vermutlich um einen staatlichen russischen Cyberakteur des russischen Auslandsgeheimdienstes SWR. Die Gruppierung nimmt fortwährend westliche diplomatische und militärische Ziele sowie Unternehmen aus den Bereichen Energie, Telekommunikation und IT ins Visier. Der Zweck der Angriffe dient dabei der Spionage.
Empfehlungen
Trendmicro stellt neben einem ausführlichen Bericht auch Indicators
of Compromise (IOC) zur Verfügung. Die Cyberabwehr empfiehlt daher, die eigenen Systeme anhand der IOC zu überprüfen
sowie RDP-Verbindungen zu deaktivieren, sollten diese nicht benötigt werden.