Kampania phisingowa umożliwiająca przejęcie danych z dysku komputera
Kampania phisingowa umożliwiająca przejęcie danych z dysku komputera – jak czytamy w Komunikacie opublikowanym na stronie internetowej Microsoft Threat Intelligence z dnia 29 października 2024r.,
cyt.:”(…) Od 22 października 2024 roku Microsoft Threat Intelligence (…) Midnight Blizzard, wysyła serię wysoce ukierunkowanych e-maili do osób w rządzie, środowisku akademickim, obronności, organizacji pozarządowych i innych sektorach. Ta aktywność jest w toku, a Microsoft będzie nadal badać i dostarczać aktualizacje w miarę dostępności. Na podstawie naszego dochodzenia w sprawie poprzednich kampanii spear-phishingowych Midnight Blizzard oceniamy, że celem tej operacji jest prawdopodobnie zbieranie danych wywiadowczych. (…)”.
Uwaga na pliki z rozszerzeniem *RDP ...
Spreparowany email zawiera plik konfiguracyjny Remote Desktop Protocol (*.RDP), który jest połączony z serwerem kontrolowanym przez atakującego. Dla uwiarygodnienia treści email atakujący podejmował próbę zwiększania swojej wiarygodności poprzez podszywanie się pod pracowników Microsoftu oraz dostawców rozwiązań chmurowych. Znane są także kampanie w których email wskazywał na to, iż zawiera ono kluczowe oprogramowanie wspierające dla pracy pracownika. Po otwarciu złośliwego pliku z rozszerzeniem *.RDP haker atakujący uzyskiwał będzie dostęp do zasobów ofiary tj. do plików i katalogów na jego dyskach sieciowych, ale także uzyska dostęp do urządzeń peryferyjnych, danych uwierzytelniających Windows Hello, uwaga także do zawartości schowka.
Sekurak radzi ...
Zapobieganie takim działaniom jest utrudnione ze względu na konieczność specyficznej konfiguracji w środowisku domenowym, bądź w samym systemie użytkownika. Najważniejszym krokiem jest wyłączenie możliwości przekierowania dysków w połączeniach RDP. Znajduje się ona w rejestrze (HKEY_LOCAL_MACHINE\Software\Microsoft\Terminal Server Clients
), gdzie należy dodać klucz DisableDriveRedirection
(REG_DWORD
) o wartości 1.
Dodatkowo warto rozważyć czy nie zablokować pozostałych opcji, takich jak:
- udostępnianie schowka,
- udostępnianie drukarek w sieci (atak jest równie niebezpieczny, jeśli urządzenie zawiera podatność pozwalającą na zdalne wykonywanie komend).
Powinno się rozważyć również skonfigurowanie dodatkowych warstw zabezpieczeń takich jak blokada ruchu (np. na firewallu) dla protokołu RDP poza pulę adresów IP organizacji. Ograniczyłoby to dodatkowo możliwość realnego ataku, bądź pozyskania hashy NTLM zalogowanego użytkownika. Z poziomu serwera poczty należy zablokować możliwość odbierania plików z potencjalnie niebezpiecznymi rozszerzeniami (w tym również “.rdp
”).
Jak ustawić podgląd rozszerzeń plików w Windows ...
Wyświetl >> Pokaż >> Rozszerzenia nazw plików
Czym jest phising ...
Podszywanie się / Łowienie ofiary – kontakt / podszywanie / spoofing / emocje / łowienie – oszust wysyła do ofiary fałszywe wiadomości email / SMS, w których podaje się za firmy kurierskie, urzędy administracji publicznej, operatorów telekomunikacyjnych, uwaga ale także zdarza się, iż podają się za znajomych ofiary, ma to wzbudzić określone emocje u ofiary, a w konsekwencji nakłonić ją do działania przez co dochodzi do wyłudzenia np. danych do logowania do konta bankowego, serwisu społecznościowego, do logowania np. do kont bankowych lub używanych przez nas kont społecznościowych, czy systemów biznesowych. Znane są także przypadki, kiedy oszuści podszywają się pod przełożonych, a nawet pracowników instytucji nadrzędnych, instytucji posiadających uprawnienia kontrolne.
Stanowisko IOD - Materiały edukacyjne dla pracowników
Stanowisko IOD - Koniec wsparcia dla Windows 10
Materiały źródłowe
Komunikat Microsoft Threat Intelligence *.RDP [Dostęp: 20.11.2024 r., godz.: 10:10]
Nowy sposób na kradzież danych z systemów Windows – malware via RDP, kampania rosyjskiej grupy APT29 [Dostęp: 20.11.2024 r., godz.: 10:10]