ผู้ไม่ประสงค์ดีใช้ไฟล์ .RDP ของ Windows ในการ Remote Desktop โดยไม่ได้รับอนุญาต

ผู้ไม่ประสงค์ดีได้อาศัยฟีเจอร์ของ Windows Remote Desktop Protocol (RDP) เพื่อเข้าสู่ระบบของเป้าหมาย โดยผู้ไม่ประสงค์ดีทำการโจมตีโดยอาศัย Phishing Email ที่แนบไฟล์นามสกุล .rdp  มาด้วย เมื่อเป้าหมายเปิดไฟล์ดังกล่าว ระบบจะเริ่มต้นการเชื่อมต่อ Remote Desktop Protocol (RDP) จากเครื่องของเป้าหมายไปยังเซิร์ฟเวอร์ที่อยู่ภายใต้การควบคุมของผู้ไม่ประสงค์ดี

กลุ่มผู้ไม่ประสงค์ดีที่ชื่อว่า UNC5837 ใช้เทคนิคการโจมตีโดยอาศัย Phishing Email ที่แนบไฟล์นามสกุล .rdp เมื่อเป้าหมายเปิดไฟล์ดังกล่าว ระบบจะเริ่มต้นการเชื่อมต่อ RemoteDesktop Protocol (RDP) จากเครื่องของเป้าหมายไปยังเซิร์ฟเวอร์ที่อยู่ภายใต้การควบคุมของผู้ไม่ประสงค์ดี โดยไม่มีการแสดงข้อความเตือนหรือแบนเนอร์การแจ้งเตือนการเชื่อมต่อแบบ Interactive ตามปกติ โดยวิธีการโจมตีนี้เรียกว่า Rogue RDP ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถเข้าถึงระบบไฟล์ของเป้าหมาย, ข้อมูลในคลิปบอร์ด, รวมถึง System Variables โดยแอบอ้างเป็นกระบวนการตรวจสอบแอปพลิเคชันตามปกติ และผู้ไม่ประสงค์ดีได้ทำการส่งอีเมลที่แอบอ้างว่าเป็นการส่งจากองค์กรชั้นนำ เช่น Amazon และ Microsoft เพื่อทำการโจมตี และผู้ไม่ประสงค์ดียังใช้ Windows environment variables เช่น %USERPROFILE% และ %COMPUTERNAME% ที่เป็น command-line arguments ที่ส่งไปยัง RemoteApp เพื่อทำการสืบค้นข้อมูลเบื้องต้นของระบบเป้าหมาย โดยไม่ต้องติดตั้งมัลแวร์ลงในเครื่อง การใช้ฟีเจอร์เหล่านี้ช่วยลดร่องรอยของการโจมตี ทำให้การตรวจจับและวิเคราะห์เหตุการณ์ละเมิดความปลอดภัยเป็นไปได้ยากยิ่งขึ้นสำหรับผู้รับผิดชอบด้านความมั่นคงปลอดภัยไซเบอร์

คำแนะนำ

– ปิดการใช้งาน Drive Redirection และ Clipboard Redirection บนเซิร์ฟเวอร์ RDP เพื่อลดความเสี่ยงจากการดึงข้อมูลจากเครื่องผู้ใช้งาน

– หลีกเลี่ยงการเปิดไฟล์ .rdp จากแหล่งที่ไม่น่าเชื่อถือ

– จำกัดการใช้งาน RemoteApp เฉพาะแอปพลิเคชันที่ได้รับอนุญาตอย่างชัดเจน

– จำกัดการเข้าถึง RDP เฉพาะ IP ที่จำเป็น โดยใช้ Firewall หรือ VPN Access