APT29 Hackers Target High-Value Victims Using Rogue RDP Servers and PyRDP
- 공격 개요
- APT29(또는 Earth Koshchei)는 PyRDP 등을 이용한 “Rogue RDP” 기법으로 정부, 군, 연구소, 우크라이나 대상 스피어 피싱 공격
- 대상: 정부·군사 조직, 싱크탱크, 학계 연구원 등 약 200명 이상의 고위급 표적 한 번에 공격
- 목적: 감염된 호스트에 원격 제어, 데이터 탈취, 추가 악성코드 배포 등 진행
- 기술적 특징
- 악성 RDP 구성 파일(RDP config)
- 피싱 이메일에 첨부된 .rdp 파일(HUSTLECON 등으로 명명)
- 피해자가 해당 파일 실행 시, 공격자 제어 PyRDP 중계 서버로 접속
- PyRDP 활용(중간자 공격 방식)
- PyRDP: Python 기반 “Monster-in-the-Middle(MitM)” RDP 프록시
- 합법적인 RDP 세션처럼 위장, 실제 공격 서버와 피해자 사이를 중계
- 세션 내 파일 접근, 셸 명령 실행, 설정 변경 등 실시
- 무설치 공격(Fileless-like)
- RDP 연결만 유도하면 되므로, 추가 악성코드 없이 데이터 탈취·제어 가능
- 피해자는 실행 파일 설치 없이 RDP 설정만으로 시스템 접근 허용
- 익명화 계층
- TOR 익스ит 노드, VPN, 주거용 프록시(Residential Proxy) 등 사용
- 이메일 발송 시 합법적 메일 서버를 프록시 뒤에서 제어
- 악성 RDP 구성 파일(RDP config)
- 공격 흐름
- 스피어 피싱
- 고위급 표적들에게 RDP 설정 파일(악성 .rdp) 첨부 메일 발송
- RDP 연결
- 수신자가 .rdp 파일 실행 시, PyRDP 중계 서버로 접속 유도
- PyRDP가 진짜 RDP 서버로 세션 연결, 공격자에게 중간자 권한 부여
- 세션 탈취 및 악성 행위
- 공격자는 재공유된 드라이브, 파일 탐색
- 크리덴셜 탈취, 파일 업/다운로드, 원격 셸 명령 실행
- 추가 악성코드나 스크립트 삽입으로 시스템 변경 유도
- 정보 유출
- PyRDP 통해 사용자가 RDP 세션에서 열거나 공유한 데이터 무단 수집
- 공격자는 인증정보, 내부 기밀, 파일 등 외부로 전송
- 스피어 피싱
- 위협
- 자료 유출: RDP 구성 파일만으로 고위급 표적 PC 원격 제어 가능
- 안티바이러스 우회: 추후 악성 바이너리 설치 없이도 포렌식 흔적 최소화
- 우회 기법: 공격은 합법 RDP 프로토콜 사용 → EDR, IDS 탐지 어려움
- TOR/VPN 혼합 사용으로 추적 회피
- 보안 권고
- RDP 설정 파일 출처 확인
- 불명확한 이메일 첨부 .rdp 파일 절대 실행 자제
- RDP 세션 설정 시, 실제 서버 주소와 인증정보 확인 필수
- 이메일 필터링 강화
- 스피어 피싱 방어 위해 DMARC, DKIM, SPF 등 적용
- 외부 메일 표식 및 사용자 교육
- RDP 접근 제어
- 필요 없는 RDP 포트(3389 등) 외부 노출 차단
- 멀티팩터 인증(MFA), VPN 통로화 등 RDP 세션 보호
- 네트워크 모니터링
- TOR/IP 프록시 사용 의심 흐름, RDP 이원 중계(프록시) 징후 탐지
- 사용자 단 “.rdp” 파일 실행 이벤트와 연결 로그 추적
- 분석 툴 구축
- PyRDP 기반 공격 시도 인지 규칙 마련
- 로그·트래픽 상 명령행 활동 감시
- RDP 설정 파일 출처 확인
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 안드로이드 생태계에서 발견된 새 멀웨어, 배후에 중국 공안 (0) | 2025.01.02 |
|---|---|
| Webview2 악용으로 CoinLurker 악성코드 배포: 가짜 업데이트 유도 주의 (0) | 2025.01.02 |
| 해커, Cisco DevHub에서 탈취한 데이터 일부 유출 (0) | 2025.01.02 |
| 통합 클러스터 관리: 보안과 효율성 강화 방안 (3) | 2025.01.02 |
| 마이크로소프트의 보안 혁신 전략 및 주요 프로그램 (1) | 2025.01.02 |