www.trendmicro.com
Open in
urlscan Pro
2.19.225.40
Public Scan
URL:
https://www.trendmicro.com/de_de/research/24/l/earth-koshchei.html
Submission: On December 18 via api from IN — Scanned from IS
Submission: On December 18 via api from IN — Scanned from IS
Form analysis 1 forms found in the DOM
<form class="main-menu-search" aria-label="Search Trend Micro">
<div class="main-menu-search__field-wrapper" id="cludo-search-form">
<table class="gsc-search-box">
<tbody>
<tr>
<td class="gsc-input">
<input type="text" class="gsc-input-field" name="search" title="search" placeholder="Search" autocomplete="off" aria-label="search">
</td>
</tr>
</tbody>
</table>
</div>
</form>Text Content
Unternehmen
search close
* Lösungen
* Nach Aufgabe
* Nach Aufgabe
* Nach Aufgabe
Mehr erfahren
* NIS2-Richtlinie
* NIS2-Richtlinie
Mehr erfahren
* Risiken verstehen, priorisieren und eindämmen
* Risiken verstehen, priorisieren und eindämmen
Minimieren Sie Risiken durch Angriffsflächenmanagement.
Mehr erfahren
* Schutz für Cloud-native Anwendungen
* Schutz für Cloud-native Anwendungen
Genießen Sie Sicherheit, die positive Geschäftsergebnisse ermöglicht.
Mehr erfahren
* Schutz für Ihre Hybrid Cloud
* Schützen Sie Ihre Hybrid- und Multi-Cloud-Welt
Gewinnen Sie Transparenz und erfüllen Sie Geschäftsanforderungen in
puncto Sicherheit.
Mehr erfahren
* Schutz Ihrer verteilten Belegschaft
* Schutz Ihrer verteilten Belegschaft
Ermöglichen Sie überall und auf jedem Gerät sichere Verbindungen.
Mehr erfahren
* Beseitigen Sie blinde Flecken im Netzwerk
* Beseitigen Sie blinde Flecken im Netzwerk
Schützen Sie Anwender und wichtige Abläufe in Ihrer gesamten Umgebung.
Mehr erfahren
* Mehr sehen. Schneller reagieren.
* Mehr sehen. Schneller reagieren.
Bleiben Sie der Konkurrenz einen Schritt voraus – mit leistungsstarken,
speziell entwickelten XDR-Funktionen, Angriffsflächenmanagement und
Zero-Trust-Funktionen
Weitere Informationen
* Erweitern Sie Ihr Team
* Erweitern Sie Ihr Team. Reagieren Sie agil auf Bedrohungen.
Maximieren Sie Ihre Effektivität mit proaktiver Risikoeindämmung und
Managed Services.
Weitere Informationen
* Operationalisierung von Zero-Trust-Funktionen –
* Operationalisierung von Zero-Trust-Funktionen –
Verstehen Sie Ihre Angriffsfläche und bewerten Sie Ihr Risiko in
Echtzeit. Passen Sie Richtlinien für das gesamte Netzwerk, alle
Arbeitslasten und Geräte von einer einzigen Konsole aus an.
Mehr erfahren
* Nach Rolle
* Nach Rolle
* Nach Rolle
Mehr erfahren
* CISO
* CISO
Steigern Sie Ihren Geschäftswert durch messbare Ergebnisse zur
Cybersicherheit.
Mehr erfahren
* SOC-Manager
* SOC-Manager
Mehr erkennen, schneller reagieren
Mehr erfahren
* Infrastrukturmanager
* Infrastrukturmanager
Entwickeln Sie Ihr Sicherheitskonzept weiter, um Bedrohungen schnell
und effektiv zu erkennen.
Mehr erfahren
* Cloud-Entwickler
* Cloud-Entwickler
Stellen Sie sicher, dass Code nur erwartungsgemäß ausgeführt wird.
Mehr erfahren
* Cloud-SecOps
* Cloud-SecOps
Gewinnen Sie mehr Transparenz und Kontrolle mit Sicherheitslösungen,
die speziell für Cloud-Umgebungen entwickelt wurden.
Mehr erfahren
* Nach Branche
* Nach Branche
* Nach Branche
Mehr erfahren
* Gesundheitswesen
* Gesundheitswesen
Schutz von Patientendaten, Geräten und Netzwerken bei gleichzeitiger
Einhaltung der Vorschriften
Weitere Informationen
* Fertigung
* Fertigung
Schutz von Produktionsumgebungen – von traditionellen Geräten bis hin
zu hochmodernen Infrastrukturen
Weitere Informationen
* Öl und Gas
* Öl und Gas
ICS-/OT-Sicherheit für Versorgungsbetriebe in der Öl- und Gasbranche
Mehr erfahren
* Stromerzeugung
* Stromerzeugung
ICS-/OT-Sicherheit für Stromerzeugungsbetriebe
Mehr erfahren
* Automobilbranche
* Automobilbranche
Mehr erfahren
* 5G-Netze
* 5G-Netze
Mehr erfahren
* Öffentlicher Sektor & Gesundheitswesen
* Öffentlicher Sektor & Gesundheitswesen
Weitere Informationen
* Sicherheit für kleine und mittelständische Unternehmen
* Sicherheit für kleine und mittelständische Unternehmen
Stoppen Sie Bedrohungen mit benutzerfreundlichen Lösungen, die für Ihr
wachsendes Unternehmen entwickelt wurden
Weitere Informationen
* NIS2 & ISG & LSI
* NIS2-Richtlinie
* NIS2-Richtlinie
Mehr erfahren
* ISG – Informationssicherheitsgesetz
* ISG – Informationssicherheitsgesetz
Mehr erfahren
* LSI - Loi sur la Sécurité de l'Information
* LSI - Loi sur la Sécurité de l'Information
Mehr erfahren
* Plattform
* Vision One Plattform
* Vision One Plattform
* Trend Vision One
Einheitliche Plattform
Verbindet den Schutz vor Bedrohungen und das Management des
Cyberrisikos
Weitere Informationen
* Companion-KI
* Trend Vision One Companion
Ihr Cybersicherheitsassistent mit generativer KI
Weitere Informationen
* Endpunktsicherheit
* Endpunktsicherheit
* Endpunktsicherheit – Übersicht
Schützen Sie Ihre Endpunkte in jeder Phase eines Angriffs
Weitere Informationen
* Industrial Endpoint Security
* Industrial Endpoint Security
Mehr erfahren
* Workload Security
* Workload Security
Optimierte Prävention, Erkennung und Reaktion für Endpunkte, Server und
Cloud-Workloads
Weitere Informationen
* Mobile Security
* Mobile Security
Schützen Sie sich gegen Malware, schädliche Anwendungen und andere
mobile Bedrohungen, on Premises und in der Cloud.
Weitere Informationen
* XDR for Endpoint
* XDR for Endpoint
Stoppen Sie Angriffe schneller. Nutzen Sie eine breitere Perspektive
und besseren Kontext, um Bedrohungen auf einer einzigen Plattform zu
jagen, zu entdecken, zu untersuchen und auf sie zu reagieren.
Weitere Informationen
* Cloud Security
* Cloud Security
* Trend Vision One™
Cloud-Sicherheit – Übersicht
Bauen Sie auf die bewährte Cloud-Sicherheitsplattform für Entwickler,
Sicherheitsteams und Unternehmen.
Weitere Informationen
* Workload Security
* Workload Security
Schützen Sie Ihr Rechenzentrum, die Cloud und Container ohne
Leistungseinbußen – nutzen Sie eine Cloud-Sicherheitsplattform mit
CNAPP-Funktionen
Mehr erfahren
* Container Security
* Container-Sicherheit
Vereinfachen Sie die Sicherheit für Ihre Cloud-nativen Anwendungen
durch erweitertes Container-Image-Scanning, richtlinienbasierte
Zugriffssteuerung und Container-Laufzeitschutz.
Mehr erfahren
* File Security
* File Security
Schützen Sie Anwendungsworkflows und Cloud-Speicher vor neuen und
komplexen Bedrohungen
Mehr erfahren
* Angriffsflächen-Risikomanagement für die Cloud
* Angriffsflächen-Risikomanagement für die Cloud
Erkennung von Cloud-Assets, Priorisieren von Schwachstellen, Management
des Cloud-Sicherheitsstatus und Angriffsflächenmanagement – alles in
einem
Weitere Informationen
* XDR für die Cloud
* XDR für die Cloud
Erweiterung der Transparenz auf die Cloud und Optimierung von
SOC-Untersuchungen
Weitere Informationen
* Netzwerksicherheit
* Netzwerksicherheit
* Network Security – Übersicht
Erweitern Sie die Leistungsfähigkeit von XDR durch Network Detection
and Response (NDR).
Mehr erfahren
* Network Intrusion Prevention (IPS)
* Network Intrusion Prevention (IPS)
Schutz vor bekannten, unbekannten und noch nicht offengelegten
Sicherheitslücken in Ihrem Netzwerk
Mehr erfahren
* Breach Detection System (BDS)
* Breach Detection System (BDS)
Erkennen Sie gezielte Angriffe im eingehenden, ausgehenden und
lateralen Datenverkehr und reagieren Sie darauf.
Mehr erfahren
* Secure Service Edge (SSE)
* Secure Service Edge (SSE)
Definieren Sie Vertrauen neu und sorgen Sie durch kontinuierliche
Risikobewertungen für eine sichere digitale Transformation.
Mehr erfahren
* Industrial Network Security
* Industrial Network Security
Mehr erfahren
* XDR für Netzwerke
* XDR für Netzwerke
Stoppen Sie Angriffe schneller. Nutzen Sie eine breitere Perspektive
und besseren Kontext, um Bedrohungen auf einer einzigen Plattform zu
jagen, zu entdecken, zu untersuchen und auf sie zu reagieren.
Weitere Informationen
* 5G-Netzwerksicherheit
* 5G-Netzwerksicherheit
Weitere Informationen
* End-of-Support-Plattformen und -Betriebssysteme
* End-of-Support-Plattformen und -Betriebssysteme
Mehr erfahren
* Alle Produkte, Services und Testversionen
* Alle Produkte, Services und Testversionen
Weitere Informationen
* Angriffsflächenmanagement
* Angriffsflächenmanagement
Datenlecks frühzeitig verhindern
Weitere Informationen
* E-Mail-Sicherheit
* E-Mail-Sicherheit
* E-Mail-Sicherheit
Stoppen Sie die Infiltration Ihres Unternehmens durch Phishing,
Malware, Ransomware, Betrug und gezielte Angriffe
Weitere Informationen
* Schutz für E-Mail und Kollaboration
* Trend Vision One™
Schutz für E-Mail und Kollaboration
Stoppen Sie Phishing, Ransomware und gezielte Angriffe auf jeden
E-Mail-Service, einschließlich Microsoft 365 und Google Workspace
Weitere Informationen
* XDR (Extended Detection and Response)
* XDR (Extended Detection and Response)
Stoppen Sie Angriffe schneller. Nutzen Sie eine breitere Perspektive und
besseren Kontext, um Bedrohungen auf einer einzigen Plattform zu jagen,
zu entdecken, zu untersuchen und auf sie zu reagieren.
Mehr erfahren
* Threat Insights
* Einblicke in Bedrohungen
Erkennen Sie Bedrohungen schon von Weitem
Weitere Informationen
* OT-Sicherheit
* OT-Sicherheit
* OT-Sicherheit
Lernen Sie Lösungen für ICS-/OT-Sicherheit kennen.
Weitere Informationen
* Industrial Endpoint Security
* Industrial Endpoint Security
Weitere Informationen
* Industrial Network Security
* Industrial Network Security
Industrial Network Security
* XDR für OT
* XDR für OT
Stoppen Sie Angriffe schneller. Nutzen Sie eine breitere Perspektive
und besseren Kontext, um Bedrohungen auf einer einzigen Plattform zu
jagen, zu entdecken, zu untersuchen und auf sie zu reagieren.
Weitere Informationen
* Identity Security
* Identity Security
Durchgängige Identity Security vom Identity Posture Management bis zu
Detection and Reponse
Mehr erfahren
* On-Premises Data Sovereignty
* Lokale Datenhoheit
Verhinderung, Erkennung, Reaktion und Schutz ohne Kompromisse bei der
Datenhoheit
Mehr erfahren
* Informationen
* Informationen
* Informationen
* Informationen
Mehr erfahren
* Research, Neuigkeiten und Perspektiven
* Research, Neuigkeiten und Perspektiven
Mehr erfahren
* Research und Analyse
* Research und Analyse
Mehr erfahren
* IT Security Best Practices
* IT Security Best Practices
Mehr erfahren
* Nachrichten zum Thema Sicherheit
* Nachrichten zum Thema Sicherheit
Mehr erfahren
* Zero-Day-Initiative (ZDI)
* Zero-Day-Initiative (ZDI)
Mehr erfahren
* Services
* Trend Micro Services
* Trend Micro Services
* Trend Micro Services
Mehr erfahren
* Servicepakete
* Servicepakete
Verstärken Sie Ihre Sicherheitsteams: Rund-um-die-Uhr-Service für
Managed Detection, Response und Support.
Mehr erfahren
* Managed XDR
* Managed XDR
Ergänzen Sie Ihr Team mit einem von Experten gemanagten Service für
Erkennung und Reaktion (Managed Detection and Response, MDR) für
E-Mails, Endpunkte, Server, Cloud-Workloads und Netzwerke.
Mehr erfahren
* Support Services
* Support Services
Mehr erfahren
* Reaktionen auf Vorfälle
* Reaktionen auf Vorfälle
* Reaktionen auf Vorfälle
Vertrauenswürdige Fachleute helfen Ihnen jederzeit gerne, egal ob Sie
von einem Sicherheitsvorfall betroffen sind oder Ihre IR-Pläne
proaktiv verbessern möchten.
Weitere Informationen
* Versicherungsanbieter und Anwaltskanzleien
* Versicherungsanbieter und Anwaltskanzleien
Vermeiden Sie Sicherheitsverletzungen mit einer erstklassigen Lösung
zur Erkennung und Reaktion und reduzieren Sie die Kosten Ihrer Kunden
für Ausfallzeiten und Schadensfälle.
Mehr erfahren
* Partner
* Partnerprogramm
* Partnerprogramm
* Partnerprogramm Übersicht
Bauen Sie Ihr Business aus und schützen Sie Ihre Kunden – durch
umfassende, mehrschichtige Sicherheit für höchste Ansprüche
Weitere Informationen
* Kompetenzen der Partner
* Kompetenzen der Partner
Heben Sie sich vom Mitbewerb ab, indem Sie Ihre Kompetenz mit
entsprechenden Nachweisen belegen
Weitere Informationen
* Erfolge von Partnern
* Erfolge von Partnern
Weitere Informationen
* Managed Security Service Provider
* Managed Security Service Provider
Bereitstellung moderner Sicherheitsdienstleistungen mit
branchenführendem XDR
Weitere Informationen
* Managed Service Provider
* Managed Service Provider
Arbeiten Sie mit einem führenden Experten für Cybersicherheit zusammen
und nutzen Sie bewährte Lösungen speziell für MSPs.
Weitere Informationen
* Alliance Partner
* Alliance Partner
* Alliance Partner
Trend arbeitet mit den Besten zusammen, um sie dabei zu begleiten, ihre
Leistung und ihren Wert zu optimieren
Weitere Informationen
* Technology Alliance Partner
* Technology Alliance Partner
Mehr erfahren
* Alliance Partner suchen
* Alliance Partner suchen
Weitere Informationen
* Partnerressourcen
* Partnerressourcen
* Partnerressourcen
Entdecken Sie Ressourcen, die das Wachstum Ihres Geschäfts ankurbeln
und Ihre Möglichkeiten als Partner von Trend Micro verbessern
Weitere Informationen
* Partnerportal-Anmeldung
* Partnerportal-Anmeldung
Anmelden
* Trend Campus
* Trend Campus
Lernen Sie schneller mit Trend Campus, der benutzerfreundlichen
Bildungsplattform, die personalisierte technische Unterstützung bietet
Weitere Informationen
* Co-Selling
* Co-Selling
Greifen Sie auf kollaborative Services zu, die Ihnen helfen, den Wert
von Trend Vision One™ zu demonstrieren und Ihr Business auszubauen
Weitere Informationen
* Partner werden
* Partner werden
Weitere Informationen
* Partner suchen
* Partner suchen
Finden Sie einen örtlichen Partner, bei dem Sie Lösungen von Trend Micro
kaufen können.
Weitere Informationen
* Unternehmen
* Warum Trend Micro?
* Warum Trend Micro?
* Warum Trend Micro?
Weitere Informationen
* C5-Testat
* C5-Testat
Weitere Informationen
* Kundenreferenzen
* Kundenreferenzen
Mehr erfahren
* Branchenauszeichnungen
* Branchenauszeichnungen
Mehr erfahren
* Strategische Partnerschaften
* Strategische Partnerschaften
Mehr erfahren
* Trend Micro vergleichen
* Trend Micro vergleichen
* Trend Micro vergleichen
So überflügelt Trend seine Mitbewerber
Los geht’s
* mit CrowdStrike
* Trend Micro versus CrowdStrike
CrowdStrike bietet mit seiner Cloud-nativen Plattform effektive
Cybersicherheit. Die Preise könnten jedoch zu hoch sein, vor allem für
Unternehmen, die eine kosteneffiziente Skalierbarkeit über eine einzige
Plattform anstreben.
Los geht’s
* mit Microsoft
* Trend Micro versus Microsoft
Microsoft bietet einen grundlegenden Schutz, benötigt jedoch oft
zusätzliche Lösungen, um die Sicherheitsprobleme der Kunden vollständig
zu lösen.
Los geht’s
* mit Palo Alto Networks
* Trend Micro versus Palo Alto Networks
Palo Alto Networks bietet fortschrittliche Cybersicherheitslösungen.
Die Navigation in der umfangreichen Suite kann jedoch komplex sein, und
die Freischaltung aller Funktionen erfordert erhebliche Investitionen.
Los geht’s
* Info
* Info
* Info
Mehr erfahren
* Impressum
* Impressum
Mehr erfahren
* Trust Center
* Trust Center
Mehr erfahren
* Geschichte
* Geschichte
Mehr erfahren
* Diversität, Fairness und Inklusion
* Diversität, Fairness und Inklusion
Mehr erfahren
* Soziale Unternehmensverantwortung
* Soziale Unternehmensverantwortung
Mehr erfahren
* Management
* Management
Mehr erfahren
* Sicherheitsexperten
* Sicherheitsexperten
Mehr erfahren
* Weiterbildungsangebote in den Bereichen Internetsicherheit und
Cybersicherheit
* Weiterbildungsangebote in den Bereichen Internetsicherheit und
Cybersicherheit
Mehr erfahren
* Rechtliche Hinweise
* Rechtliche Hinweise
Mehr erfahren
* Formel-E-Rennen
* Formel-E-Rennen
Weitere Informationen
* Kontakt aufnehmen
* Kontakt aufnehmen
* Kontakt aufnehmen
Mehr erfahren
* Newsroom
* Newsroom
Mehr erfahren
* Veranstaltungen
* Veranstaltungen
Mehr erfahren
* Karriere
* Karriere
Mehr erfahren
* Webinare
* Webinare
Mehr erfahren
Back
Back
Back
Back
* Kostenlose Testversionen
* Kontakt
Sie suchen nach Lösungen für zu Hause?
Sie werden angegriffen?
1 Warnungen
Back
Ungelesen
Alles
* 100 % Erkennung. 100 % Vertrauen. Trend Vision One.
close
Mehr erfahren
Folio (0)
Support
* Support-Portal für Unternehmen
* Weiterbildung und Zertifizierung
* Kontakt mit dem Support
* Supportpartner finden
Ressourcen
* AI Security
* Trend Micro versus Mitbewerb
* Cyber Risk Assessments
* Was ist ...?
* Enzyklopädie der Bedrohungen
* Cyberversicherung
* Glossar der Begriffe
* Webinare
Anmelden
* Vision One
* Support
* Partnerportal
* Cloud One
* Produktaktivierung und -management
* Referenzpartner
Back
arrow_back
search
close
Content has been added to your Folio
Go to Folio (0) close
APT und gezielte Angriffe
EARTH KOSHCHEI COOPTS RED TEAM TOOLS IN COMPLEX RDP ATTACKS
APT group Earth Koshchei, suspected to be sponsored by the SVR, executed a
large-scale rogue RDP campaign using spear-phishing emails, red team tools, and
sophisticated anonymization techniques to target high-profile sectors.
By: Feike Hacquebord, Stephen Hilt December 17, 2024 Read time: 12 min (3117
words)
Save to Folio
Subscribe
--------------------------------------------------------------------------------
SUMMARY
* Earth Koshchei's rogue remote desktop protocol (RDP) campaign used an attack
methodology involving an RDP relay, rogue RDP server, and a malicious RDP
configuration file, leading to potential data leakage and malware
installation.
* Earth Koshchei is known for constantly innovating and using a variety of
methods. In this campaign, they leveraged red team tools for espionage and
data exfiltration.
* The spear-phishing emails used in Earth Koshchei's campaign were designed to
deceive recipients into using a rogue RDP configuration file, causing their
machines to connect to one of the group's 193 RDP relays.
* Earth Koshchei's campaign showed significant preparation, registering more
than 200 domain names between August and October of this year.
* The group used anonymization layers like commercial VPN services, TOR, and
residential proxies to mask their operations, enhance their stealthiness, and
complicate attribution efforts.
Red teaming provides essential tools and testing methodologies for organizations
to strengthen their security defenses. Cybercriminals and advanced persistent
threat (APT) actors pay close attention to new methods and tools red teams
develop, and they may repurpose them with a malicious intent.
In October 2024, an APT group that Trend Micro tracks as Earth Koshchei (also
known as APT29 and Midnight Blizzard), likely used a rogue remote desktop
protocol (RDP) attack methodology against numerous targets. This methodology was
described earlier in 2022 by Black Hills Information Security in detail. The
attack technique is called “rogue RDP”, which involves an RDP relay, a rogue RDP
server, and a malicious RDP configuration file. A victim of this technique would
give partial control of their machine to the attacker, potentially leading to
data leakage and malware installation.
Earth Koshchei’s rogue RDP campaign reached its peak on October 22, when
spear-phishing emails were sent to governments and armed forces, think tanks,
academic researchers and Ukrainian targets. These emails were designed to
deceive recipients into using a rogue RDP configuration file attached to the
message. When opened, this RDP configuration file would instruct the target
computer to try to connect to a foreign RDP server through one of the 193 RDP
relays Earth Koshchei had set up.
Even though many of the targeted organizations are likely to have outgoing RDP
connections blocked, it is still possible that in some cases RDP connections
were not; for example, like in a home office environment or organizations that
have less strict security in place. In the attack setup, it is also possible to
use a non-standard port for the RDP relay, thus avoiding firewall rules. We
believe that the spear-phishing email wave was preceded by earlier, very
targeted and barely audible campaigns that ended abruptly with a final loud bang
on October 22.
Microsoft and Amazon publicly attributed the rogue RDP campaign to Midnight
Blizzard and APT29, which we track as Earth Koshchei. While we cannot make an
independent attribution with high confidence to Earth Koshchei, we noticed they
used some of their typical tactics, techniques and procedures (TTP) in the
campaign and we could significantly expand on the indicators of compromise
(IOCs) that had been made public so far by Microsoft and Cert-UA.
The threat group behind Earth Koshchei is allegedly sponsored by the Russian
Foreign Intelligence Service (SVR), according to US and UK law enforcement.
Earth Koshchei is characterized by its persistent targeting of diplomatic,
military, energy, telecom, and IT companies in Western countries over many
years, with the motivation believed to be primarily espionage. Earth Koshchei is
known for adapting their TTPs and has deployed several techniques in the past
like password spraying, brute forcing dormant accounts and watering hole
attacks.
In Trend Micro’s global threat intelligence, the rogue RDP spear-phishing emails
were found to have been sent to many targets, including the military, ministries
of foreign affairs, targets in Ukraine and academic researchers. The scale of
the RDP campaign was huge: The number of high-profile targets – about 200 – we
saw in one day was about the same size as another APT group like Pawn Storm
targets in weeks. This was not the first time Earth Koshchei was linked to a
massive spear-phishing campaign: In May 2021, they also sent spear-phishing
emails to thousands of individual accounts.
Preparations for the campaign had already started as early as August 7-8, when
the adversary began to register domain names whose names suggest they would be
used against targets that have a relationship with the Australian and Ukrainian
governments. The last domain, registered on October 20, was apparently meant to
target an organization with a link to the Netherlands’ Ministry of Foreign
Affairs. In between, almost 200 domain names were registered, many of which
suggest the target the adversaries had in mind.
This report aims to give a detailed explanation of what happened around Earth
Koshchei’s RDP campaign, how the previously published red team methodology was
used, to describe the scale of the campaign, and what anonymization layers were
used. In particular, we discuss the infrastructure of the attack: We reveal 193
domains that were actively used against various organizations and 34 rogue RDP
backend servers. In our assessment, these 193 domain names served as proxies to
the 34 backends that look like the real rogue RDP servers of Earth Koshchei. We
have seen evidence that some of the suspected rogue RDP backend servers, in
combination with some of the RDP relays, were used for data exfiltration from
October 18 to 21 for two military organizations and one cloud provider.
ROGUE RDP CONFIGURATION FILE: FROM RED TEAM TOOL TO TARGETED ATTACKS
We investigated one of the RDP configuration files that was sent to an academic
researcher in Europe. The file specified a remote server to contact:
eu-south-2-aws[.]zero-trust[.]solutions. Although the hostname suggests a
legitimate Amazon Web Services (AWS) server, it is controlled by Earth
Koshchei. The configuration redirects all local drives, printers, COM ports,
smart cards, and clipboards, allowing remote access to the victim’s local
machine. Obviously, this can be exploited for data exfiltration. After a
successful connection is established, a remote application called AWS Secure
Storage Connection Stability Test v24091285697854 is executed. At the time of
our analysis, the remote servers were already down, so we could not check what
action this remote application would execute.
Figure 1. RDP connection (Source: VirusTotal)
download
This kind of attack scenario was described in 2022 by Mike Felch in a Black Hill
blog post. It is more complex to set up than it might initially appear. An
attacker’s goal is to minimize suspicious warnings and reduce the need for user
interaction as much as possible. Therefore, Felch proposed an idea of using a
man-in-the-middle (MITM) proxy in front of the actual rogue RDP servers and use
the Python Remote Desktop Protocol MITM tool (PyRDP).
As described in Black Hill’s blog, the RDP attack begins when the victim
attempts to use the .RDP file that was sent in a spear-phishing attack. This
then makes an outbound RDP connection to the attacker’s first system (Figure 2).
Here, the attacker employs PyRDP to act as a MITM proxy, intercepting the
victim's connection request. Instead of connecting the victim to what they think
is a legitimate server, the PyRDP proxy redirects the session to a rogue server
controlled by the attacker. This setup enables the attacker to pose as the
legitimate server to the victim, effectively hijacking the session. By doing so,
the attacker gains full visibility and control over the communication between
the victim and the RDP environment.
Upon establishing the connection, the rogue server mimics the behavior of a
legitimate RDP server and exploits the session to carry out various malicious
activities. A primary attack vector involves the attacker deploying malicious
scripts or altering system settings on the victim's machine. Additionally, the
PyRDP proxy facilitates access to the victim's file system, enabling the
attacker to browse directories, read or modify files, and inject malicious
payloads. This capability renders the attack particularly hazardous, as it
permits immediate and untraceable compromise of the victim's endpoint.
The final stage of the attack often involves data exfiltration, where the
attacker utilizes the compromised session to extract sensitive information such
as passwords, configuration files, proprietary data, or other confidential
materials. The PyRDP proxy ensures that any data stolen or commands executed are
funneled back to the attacker without alerting the victim. Tools like RogueRDP
further enhance the attacker's capabilities by automating the creation of
convincing RDP files, enticing users to initiate compromised sessions.
This method not only demonstrates the danger of MITM attacks in RDP environments
but also emphasizes the critical need for security measures within
organizations.
Figure 2. Setup of the RDP attack method
download
Configuration setting Value Purpose in attack full address
eu-north-1.regeringskansliet-se.cloud Redirects the victim to a malicious
server. alternate full address eu-north-1.regeringskansliet-se.cloud Backup
address for ensuring the connection reaches the attacker’s server.
drivestoredirect s:* Redirects all drives, enabling PyRDP to crawl and
exfiltrate the victim’s files. redirectprinters, redirectclipboard,
redirectsmartcards, etc. 1 Enables redirection of client devices and resources
for exploitation. As an example, PyRDP can read the contents of the clipboard.
remoteapplicationname AWS Secure Storage Connection Stability Test
v24091285697854 Misleads the victim into thinking they are accessing a
legitimate application. remoteapplicationprogram AWS Secure Storage Connection
Stability Test v24091285697854 Specifies the application that will be executed
and displayed to the victim during the RDP session. This is a critical part of
the attack because it allows the attacker to simulate a legitimate application
environment. prompt for credentials 0 Suppresses security prompts, increasing
the stealth of the attack. authentication level 2 Lowers the security of the
connection, facilitating exploitation.
Table 1. An example of one of the analyzed RDP configuration files
RDP configuration files like that shown in Table 1 aid the attack by trying to
exploit victims by redirecting their RDP sessions to a malicious server. Tools
like PyRDP enhance the attack by enabling the interception and manipulation of
RDP connections. PyRDP can automatically crawl shared drives redirected by the
victim and save their contents locally on the attacker's machine, facilitating
seamless data exfiltration. The attack starts by leveraging the full address and
alternate full address fields to redirect the victim to a malicious server.
Additional fields, such as remoteapplicationprogram and remoteapplicationname,
specify an application to launch, creating a false sense of legitimacy. Upon
connection, the malicious server likely uses PyRDP to perform tasks including
crawling redirected drives and exfiltrating data.
This attack demonstrates how tools like PyRDP can automate and enhance malicious
activities, such as systematically crawling redirected drives to exfiltrate
data. Notably, no malware is installed on the victim’s machines per se. Instead,
a malicious configuration file with dangerous settings facilitates this attack,
making it a stealthier living off the land operation that is likely to evade
detection. We believe that Earth Koshchei made use of the final stage of this
methodology. Our analysis reproduced and validated 193 proxy servers whose
hostnames often suggest the intended target and identified 34 servers that
likely served as the rogue RDP backend servers.
Figure 3. Schema of how Earth Koshchei controls their infrastructure
download
As shown in Figure 3, a victim machine makes an RDP connection to one of the
rogue RDP backend servers through connecting to one of the 193 proxy servers.
Earth Koshchei controls the proxy servers and the rogue RDP server with SSH over
Tor, VPN services and residential proxies.
ANONYMIZATION LAYERS
One of the characteristic TTPs of Earth Koshchei is the abundant usage of
anonymization layers like commercial VPN services, TOR and residential proxy
service providers. The usage of large numbers of (residential) proxies makes
defense strategies based on blocking IP address indicators ineffective. The
attacker masquerades its malicious traffic in networks that are shared by
legitimate users and can spread their attacks over thousands of rapidly changing
IP addresses that are used by home users.
These anonymization layers were also used in the recent RDP campaign. We assess
with medium confidence that Earth Koshchei had been using TOR exit nodes for
weeks to control more than 200 VPS server IP addresses and 34 rogue RDP servers
that were set up in the RDP campaign. The spear-phishing emails were sent from
at least five legitimate mail servers that looked to be compromised from the
outside. We have evidence from our telemetry that Earth Koshchei accessed them
through the webmail server by using various residential proxy providers and
commercial VPN services.
Earth Koshchei or another actor had likely compromised the email servers weeks
before the campaign’s peak on October 22. In our telemetry, we counted about 90
unique IP addresses that were used to connect to the compromised email servers
to send out the spam. Among the 90 IP addresses were exit nodes from a
relatively new commercial peer-to-peer VPN service provider that accepts
cryptocurrency payments. Other IP addresses were likely to be exit nodes of a
couple of residential proxy service providers.
TIMELINE
We assess that Earth Koshchei has set up over 200 domain names between August 7
to October 20 (Figures 4 and 5). For 193 of these domain names, we were able to
validate that these domains were indeed set up for the RDP campaign. Hence, we
assess with medium confidence they were used by Earth Koshchei. There are a
couple of dozen other domain names that look to belong to the Earth Koshchei
intrusion set, but we did not find evidence these were used.
The domain names were set up in batches and always during weekdays, except for
one domain that apparently was aimed to target an organization related to the
Netherlands’ Ministry of Foreign Affairs. The nature of most of the domain names
clearly suggests the intended target (Figure 6), but we have only been able to
verify the suggested target with the actual target in a couple of cases. In
August 2024, the registered domain names suggested targeting against governments
and military in Europe, US, Japan, Ukraine and Australia. At the end of this
month, domain names were registered that look to be related to cloud providers
and IT companies. Then, in September 2024, there were batches of domain names
that appeared to be based on several think thanks and non-profit organizations.
There were also several domain names related to online virtual platforms like
Zoom, Google Meet, and Microsoft Teams.
Figure 4. Timeline of domain name registrations (August to October 2024)
download
Figure 5. Distribution of domain names that were created over time
download
Figure 6. Number of domains per industry
download
The backend rogue RDP servers were most likely set up from September 26 until
October 20. We were not able to recover explicit email samples that might have
been sent before October 22, but we do think that the rogue RDP servers were
used in data exfiltration on October 18 to 21 against targets in the military
and a cloud provider. It is plausible that there were other targets before
October 22, but we do not have explicit evidence for that.
ATTRIBUTION
We attribute the RDP campaign to Earth Koshchei with a medium confidence level
based on TTPs, victimology, and research from other companies. The TTPs that
were used in the rogue RDP campaign are quite typical for Earth Koshchei: The
targeting and abundant usage of residential proxy service providers, TOR and
commercial VPN services stood out. We have been able to attribute 193 proxy
servers and their domain names and 34 rogue RDP servers to Earth Koshchei with a
medium confidence level.
OUTLOOK AND CONCLUSIONS
Threat actors like Earth Koshchei show a consistent interest in their targets
over the years. The targets include governments, military, defense industry,
telecommunications companies, think tanks, cybersecurity companies, academic
researchers and IT companies. Earth Koshchei uses new methodologies over time
for their espionage campaigns. They not only pay close attention to old and new
vulnerabilities that help them in getting initial access, but they also look at
the methodologies and tools that red teams develop.
A prime example of this is their usage of rogue RDP servers, most likely
inspired by a 2022 blog post from an information security company. This is a
perfect example of an APT group utilizing red team toolkits to lessen their work
on the attack itself and being able to focus more on targeting organizations
with advanced social engineering. It helps them to ensure they can extract the
maximum amount of data and information from their targets in the shortest amount
of time.
We think that before the massive spear-phishing campaign on October 22, Earth
Koshchei had more stealthy campaigns. This is evidenced by traces of data
exfiltration through some of their RDP relays. The campaigns probably became
less effective over time, so Earth Koshchei did one last scattergun campaign
where most of the attacker infrastructure got burned. This makes them a
dangerous adversary that will use different methodologies to reach their goals.
Earth Koshchei makes extensive usage of anonymization layers like TOR, VPN and
residential proxy services. Using these anonymization layers makes attribution
much harder, but not impossible in all cases. We expect that actors like Earth
Koshchei will continue with well prepared and innovative attacks against the
same targets in the future. Their rogue RDP campaign was of an unusual scale
where a lot of infrastructure was used, and the campaign looked well prepared
when it comes to social engineering the targets.
Companies that do not block outbound RDP connections to non-trusted servers
should do so as soon as possible. One could also block the sending of RDP
configuration files over email. Trend Micro detects the rogue RDP configuration
files as Trojan.Win32.HUSTLECON.A.
TREND MICRO VISION ONE THREAT INTELLIGENCE
To stay ahead of evolving threats, Trend Micro customers can access a range of
Intelligence Reports and Threat Insights within Trend Micro Vision One. Threat
Insights helps customers stay ahead of cyber threats before they happen and
better prepared for emerging threats. It offers comprehensive information on
threat actors, their malicious activities, and the techniques they use. By
leveraging this intelligence, customers can take proactive steps to protect
their environments, mitigate risks, and respond effectively to threats.
Trend Micro Vision One Intelligence Reports App [IOC Sweeping]
* Earth Koshchei's Rogue RDP Campaign: Red Team Methods Turned Malicious
*
Trend Micro Vision One Threat Insights App
* Threat Actor: Earth Koshchei
* Emerging Threats: Earth Koshchei Coopts Red Team Tools in Complex RDP Attacks
*
HUNTING QUERIES
Trend Micro Vision One Search App
Trend Micro Vision Once Customers can use the Search App to match or hunt the
malicious indicators mentioned in this blog post with data in their
environment.
Detection of malicious RDP Config file
malName:(*MALCONF* OR *HUSTLECON*) AND eventName:MALWARE_DETECTION
More hunting queries are available for Vision One customers with Threat Insights
Entitlement enabled.
INDICATORS OF COMPROMISE (IOC)
The list of indicators of compromise may be found here.
Tags
Aktuelle Nachrichten | APT und gezielte Angriffe | Research
AUTHORS
* Feike Hacquebord
Sr. Threat Researcher
* Stephen Hilt
Sr. Threat Researcher
Contact Us
Subscribe
RELATED ARTICLES
* ASRM: Ein risikobasierter Ansatz für die Cybersicherheit
* Der Security-RückKlick 2024 KW 50
* Vishing via Microsoft Teams Facilitates DarkGate Malware Intrusion
See all articles
Überzeugen Sie sich selbst von der einheitlichen Plattform – kostenlos
* Fordern Sie die Lizenz für Ihren 30-tägigen Test an
*
*
*
*
*
RESSOURCEN
* Blog
* Newsroom
* Berichte zu Bedrohungen
* Partner suchen
*
*
SUPPORT
* Support-Portal für Unternehmen
* Kontakt
* Downloads
* Kostenlose Testversionen
*
*
ÜBER TREND
* Info
* Impressum
* Karriere bei Trend Micro
* Standorte
* Veranstaltungshinweise
* Trust Center
*
Hauptniederlassung DACH
Trend Micro - Germany (DE)
Parkring 29
85748 Garching
Deutschland
Telefon: +49 (0)89 8393 29700
Land/Region auswählen
Deutschland, Österreich, Schweiz expand_more
close
NORD-, MITTEL- UND SÜDAMERIKA
* USA
* Brasilien
* Kanada
* Mexiko
NAHER OSTEN UND AFRIKA
* Südafrika
* Naher Osten und Nordafrika
EUROPA
* Belgien (België)
* Tschechische Republik
* Dänemark
* Deutschland, Österreich, Schweiz
* Spanien
* Frankreich
* Irland
* Italien
* Niederlande
* Norwegen (Norge)
* Polen (Polska)
* Finnland (Suomi)
* Schweden (Sverige)
* Türkei (Türkiye)
* Vereinigtes Königreich
ASIEN-PAZIFIK
* Australien
* Центральная Азия (Mittelasien)
* Hongkong (Englisch)
* Hongkong (香港 (中文))
* Indien (भारत गणराज्य)
* Indonesien
* Japan (日本)
* Südkorea (대한민국)
* Malaysia
* Монголия (Mongolei) und Грузия (Georgien)
* Neuseeland
* Philippinen
* Singapur
* Taiwan (台灣)
* ประเทศไทย (Thailand)
* Vietnam
Datenschutz | Rechtliches | Sitemap
Copyright ©2024 Trend Micro Incorporated. Alle Rechte vorbehalten
Copyright ©2024 Trend Micro Incorporated. Alle Rechte vorbehalten
sXpIBdPeKzI9PC2p0SWMpUSM2NSxWzPyXTMLlbXmYa0R20xk
This website uses cookies for website functionality, traffic analytics,
personalization, social media functionality and advertising. Our Cookie Notice
provides more information and explains how to amend your cookie settings.Learn
more
Cookies Settings Accept
✓
Thanks for sharing!
AddToAny
More…
BDOW!
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1