Het Centrum voor Cybersecurity België (CCB) ontving meerdere meldingen van een spear-phishingcampagne gericht op nationale CSIRT's en overheidsorganisaties in Europa. De aanvaller doet zich voor als de nationale CSIRT's en gebruikt phishingmails met een RDP-bestand als bijlage. Het doel is om toegang te krijgen tot de lokale schijven van het slachtoffer. Hierdoor kan de aanvaller lokale mappen en bestanden van het slachtoffer manipuleren. Wanneer de lokale schijven worden blootgesteld met behulp van de RDP-malware, is exfiltratie zeer waarschijnlijk en is er een verhoogd risico op het exploiteren van aanvullende kwaadaardige code en het bereiken van persistentie.
Werkwijze
Gebaseerd op meerdere meldingen:
- De aanvallers doen zich voor als de nationale CSIRT's van de beoogde organisatie, bijvoorbeeld het CCB voor een Belgische organisatie.
- De aanvaller lokt het slachtoffer onder het voorwendsel van een “cloudsamenwerking”.
- De phishing-e-mail bevat een kwaadaardig RDP-bestand.
- Als het slachtoffer het RDP-bestand opent, worden de lokale schijven blootgesteld aan de infrastructuur van de aanvaller.