Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA 22.10.2024 отримано інформацію щодо масового розповсюдження серед органів державної влади, підприємств основних галузей промисловості та військових формувань електронних листів з тематиками, присвяченими, нібито, питанням “інтеграції” з сервісами Amazon, Microsoft та впровадження архітектутри “нульової” довіри (Zero trust architecture, ZTA).
У якості вкладення згадані листи містили конфігураційні файли налаштування протоколу віддаленого робочого столу RDP (“.rdp”), запуск яких забезпечував встановлення вихідного RDP-з’єднання з сервером зловмисників. При цьому, зважаючи на параметри RDP-файлу, під час такого RDP-підключення віддаленому серверу не тільки надавався доступ до дисків, мережевих ресурсів, принтерів, COM-портів, аудіо-пристроїв, буферу обміну та інших ресурсів на локальному комп’ютері, а й могли бути створені технічні передумови для запуску на комп’ютері жертви сторонніх програм/скриптів.
Відповідно до інформації профільних організацій інших країн можемо стверджувати, що активність має широку географію.
Дослідження пов’язаних доменних імен дозволяє припустити, що підготовка інфраструктури для проведення кібератак здійснювалася, щонайменше, з серпня 2024 року. Звертаємо увагу, що IP-адреси та доменні імена, наведені в розділі “Індикатори кіберзароз”, виявлено по ряду схожостей та можуть не мати відношення до розглянутого кіберінциденту.
Очевидно, що скорочення поверхні атаки можна досягнути шляхом комбінації технічних заходів, зокрема:
- блокування “.rdp” файлів на поштовому шлюзі
- блокування можливості запуску будь-яких “.rdp” файлів користувачами (створення виключень)
- налаштування міжмережевого екрану для обмеження можливості встановлення RDP-з’єднань програмою mstsc.exe до ресурсів в мережі Інтернет
- налаштування групових політик (адміністративного шаблону) для заборони перенаправлення ресурсів ЕОМ за допомогою RDP (“Remote Desktop Services” -> “Remote Desktop Session Host” -> “Device and Resource Redirection” -> “Do not allow…“)
З метою пошуку можливих ознак реалізації описаної кіберзагрози рекомендуємо перевірити журнали мережевої взаємодії з наведеними IP-дресами та доменними іменами, а також, за поточний місяць, окремо проаналізувати легітимність всіх вихідних мережевих з’єднань до будь-яких IP-адрес в мережі Інтернет (порт 3389/tcp).
Описана активність відстежується за ідентифікатором UAC-0215.