Sandworm zloupotrebljava RDP servere za malware i dugotrajan pristup mreži
Cyber Press piše da grupa APT-C-13, poznata i kao Sandworm ili APT44, vodi kampanju protiv odbrambenih, državnih i kritičnih organizacija tako što zloupotrebljava RDP servere za dugotrajan pristup i prikupljanje podataka. Prema opisu iz teksta, napad počinje zlonamernim ISO fajlom prerušenim u piratski Microsoft Office, nakon čega se instaliraju moduli za postojanost, SSH tunelovanje i prikriveni pristup internom RDP servisu. U kampanji se pominju i manipulacija sertifikatima poverenja, gašenje delova zaštite kroz Defender izuzetke i anti-forenzičke tehnike za brisanje tragova.
Ovo je važno jer pokazuje kako napadači ne traže više samo brz upad, već tih i dugotrajan boravak u mreži, posebno u organizacijama od visokog značaja. Kada se RDP i legitimni alati iskoriste za skriven pristup, napad može dugo ostati neprimećen i služiti za izviđanje, krađu podataka ili pripremu naredne faze kompromitacije.
- Pratiti neuobičajene SSH i RDP veze, posebno tunelovane ili spolja mapirane konekcije
- Redovno proveravati scheduled task zapise i sumnjive zadatke koji liče na legitimne sistemske procese
- Ograničiti pokretanje neproverenih ISO i setup fajlova sa korisničkih stanica
- Pregledati Defender izuzetke i proveriti da li su dodate sumnjive putanje ili diskovi
- Kontrolisati uvoz root sertifikata i pratiti promene u trusted certificate store okruženju