Google meldt phishingaanvallen met .rdp-bestand als e-mailbijlage
Europese overheden en militaire organisaties zijn vorig jaar oktober het doelwit geweest van phishingaanvallen waarbij .rdp-bestanden als e-mailbijlage werden verstuurd, zo heeft Google nu bekendgemaakt. Daarbij maakten de aanvallers gebruik van twee minder bekende features van het RDP-protocol. Via het remote desktop protocol is het mogelijk om op afstand toegang tot een systeem te krijgen.
De phishingaanvallen begonnen met een e-mail over een project waar onder andere Microsoft en Amazon bij betrokken zouden zijn. De meegestuurde e-mailbijlage, een .rdp-bestand, zou zogenaamd een applicatie zijn die betrekking op het project had. Wanneer doelwitten het .rdp-bestand openden werd er een verbinding van hun machine naar het RDP-systeem van de aanvallers opgezet.
Via de opgezette verbinding kregen de aanvallers lees- en schrijftoegang tot alle schijven en clipboard content van het slachtoffer. Zo was het mogelijk om bestanden te stelen en informatie uit het clipboard te halen, zoals wachtwoorden. Ook omgevingsvariabelen konden de aanvallers op deze manier buitmaken, alsmede WebAuthn requests. Daarnaast werd er gebruikgemaakt van de RemoteApp feature van RDP. Via deze feature konden de aanvallers een malafide applicatie aan de aangevallen machine aanbieden.
Deze applicatie, die werd gehost op de RDP-server van de aanvallers, deed zich voor als een lokaal geïnstalleerd programma. De applicatie stond niet op de machine van het slachtoffer, maar werd gepresenteerd als een native applicatie. De enige indicator was het RDP-symbool op de taakbalk. Het uiteindelijke doel van deze applicatie kon Google niet achterhalen, zo laat het techbedrijf weten. Mogelijk zou het zijn gebruikt om het slachtoffer verdere acties uit te laten voeren, waardoor de aanvallers het systeem verder konden compromitteren.
"Deze campagne laat zien wat de beveiligingsrisico's van obscure RDP-functies zijn, wat het belang van waakzaamheid en proactieve verdediging aantoont", aldus Google. "In deze specifieke campagne, waar de controle over het aangevallen systeem beperkt leek, draaiden de voornaamste mogelijkheden rond het stelen van bestanden, onderscheppen van clipboard-gegevens en toegang tot omgevingsvariabelen. Het is waarschijnlijk dat deze campagne gericht was op spionage en het manipuleren van gebruikers."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer Operationele Techniek (ISO)
Heb jij kennis van procesautomatisering en interesse in security en informatiebeveiliging? Solliciteer dan op de functie van (aankomend) Information Security Officer bij Hoogheemraadschap Hollands Noorder-kwartier in Heerhugowaard. Als ISO Opera-tionele techniek draag jij bij aan de veiligheid van onze informatie en systemen.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
