针对乌克兰政府和军队的最新攻击活动中使用了恶意 RDP 文件

黑客试图利用远程桌面协议 (RDP) 配置文件远程访问乌克兰政府和军事系统，伪装成流行的网络和安全服务。乌克兰网络防御者表示，他们的调查揭示了一项始于 8 月的精心策划，旨在覆盖更广泛的地域。

乌克兰计算机应急响应小组 (CERT-UA) 发现，新一波恶意钓鱼邮件针对乌克兰关键部门。黑客正试图利用远程桌面协议 (RDP) 进行未经授权的访问。

此次活动利用了亚马逊和微软服务的受欢迎程度，以整合和采用“零信任架构”（ZTA）的承诺来吸引目标。这些网络钓鱼电子邮件附有 RDP 配置文件，如果打开，它们将允许攻击者连接到网络犯罪分子控制的远程服务器。

攻击机制：利用 RDP 漏洞

RDP 广泛用于企业环境中的远程访问。然而，在这次攻击中，“.rdp”文件充当了威胁组织的入口点。一旦受害者打开该文件，它就会启动与攻击者服务器的出站连接。

CERT-UA 表示：“考虑到 RDP 文件的参数，在这样的 RDP 连接期间，远程服务器不仅可以访问本地计算机上的磁盘、网络资源、打印机、COM 端口、音频设备、剪贴板和其他资源，还可以在受害者的计算机上未经授权运行第三方程序/脚本。”

最新活动的攻击链（来源：CERT-UA）

这种类型的攻击可能出现在 RDP 设置配置不当的机器上。CERT-UA 注意到，在这种情况下，攻击者正在利用这些错误配置来渗透网络、获取敏感资源的访问权限并发起更深层次的攻击。

全球影响

尽管最初报告发生在乌克兰，但 CERT-UA 警告称，此次攻击活动的基础设施显示出更广泛的地理足迹。恶意活动可以追溯到 2024 年 8 月，与这些攻击相关的域名和 IP 地址表明准备工作横跨多个地区。

由于攻击者利用云服务和零信任架构等常见主题，全球各地的组织都可能面临风险。

安全建议

加强对恶意 RDP 文件的防御，减少攻击面需要采取多层次的方法，特别是对于依赖 RDP 进行远程访问的组织。

CERT-UA 发布了多项重要建议，以帮助降低此类攻击的风险：

• 阻止 RDP 文件：组织应配置其邮件网关以阻止“.rdp”文件，防止用户意外启动这些恶意配置。

• 限制 RDP 访问：应调整防火墙以限制 RDP 连接（特别是由 mstsc.exe 发起的连接）到受信任的内部资源，防止未经授权连接到外部服务器。

• 设置组策略：管理员应使用组策略来禁用 RDP 会话期间的资源重定向，攻击者经常利用该策略来访问驱动器、打印机和其他连接的外围设备。

新闻链接：

https://thecyberexpress.com/rogue-rdp-files-used-in-ukraine-cyberattacks/

讲述普通人能听懂的安全故事