Das Centre for Cybersecurity Belgium (CCB) erhielt mehrere Meldungen über eine Spear-Phishing-Kampagne, die auf nationale CSIRTs und Regierungsorganisationen in Europa abzielt. Die Angreifer geben sich als die nationalen CSIRTs aus und verwenden Phishing-Mails, die eine RDP-Datei als Anhang enthalten. Ziel ist es, Zugriff auf die lokalen Laufwerke des Opfers zu erhalten. Dies ermöglicht es dem Angreifer, lokale Ordner und Dateien des Opfers zu manipulieren.Wenn die lokalen Laufwerke mit Hilfe der RDP-Malware offengelegt werden, ist eine Exfiltration sehr wahrscheinlich, und es besteht ein erhöhtes Risiko, dass zusätzlicher bösartiger Code bereitgestellt und Persistenz erreicht wird.
Modus operandi
Basierend auf mehreren Benachrichtigungen:
- Die Angreifer geben sich als die nationalen CSIRTs der anvisierten Organisation aus, z. B. als das CCB für eine belgische Organisation.
- Der Angreifer lockt das Opfer mit dem Vorwand einer „Cloud Collaboration“-Aktion.
- Die Phishing-E-Mail enthält eine bösartige RDP-Datei.
- Wenn das Opfer die RDP-Datei öffnet, werden die lokalen Laufwerke der Infrastruktur des Angreifers ausgesetzt.