红队为组织加强安全防御提供了必要的工具和测试方法。网络犯罪分子和高级持续性威胁 (APT) 参与者密切关注红队开发的新方法和工具,他们可能会将其用于恶意目的。
2024 年 10 月,趋势科技跟踪的名为 Earth Koshchei 的 APT 组织(也称为 APT29 和 Midnight Blizzard)可能对众多目标使用了流氓远程桌面协议 (RDP) 攻击方法。这种方法早在 2022 年就由Black Hills Information Security 详细描述过。这种攻击技术称为“流氓 RDP”,涉及 RDP 中继、流氓 RDP 服务器和恶意 RDP 配置文件。这种技术的受害者会将其机器的部分控制权交给攻击者,这可能会导致数据泄露和恶意软件安装。
10 月 22 日,Earth Koshchei 的恶意 RDP 活动达到顶峰,当时鱼叉式网络钓鱼电子邮件被发送给政府和武装部队、智库、学术研究人员和乌克兰目标。这些电子邮件旨在欺骗收件人使用邮件中附带的恶意 RDP 配置文件。打开后,此 RDP 配置文件将指示目标计算机尝试通过 Earth Koshchei 设置的 193 个 RDP 中继之一连接到外部 RDP 服务器。
尽管许多目标组织可能已阻止传出的 RDP 连接,但在某些情况下,RDP 连接仍可能未被阻止;例如,在家庭办公环境或安全措施不太严格的组织中。在攻击设置中,还可以使用非标准端口进行 RDP 中继,从而避开防火墙规则。我们认为,在鱼叉式网络钓鱼电子邮件浪潮之前,曾发生过早期的、非常有针对性的、几乎听不见的活动,这些活动于 10 月 22 日突然结束,最终以一声巨响结束。
微软和亚马逊公开将恶意 RDP 活动归咎于 Midnight Blizzard 和 APT29,我们将其追踪为 Earth Koshchei。虽然我们无法高度自信地将之归咎于 Earth Koshchei,但我们注意到他们在活动中使用了一些典型的策略、技术和程序 (TTP),我们可以大大扩展微软和Cert-UA迄今为止公开的入侵指标 (IOC) 。
据美国和英国执法部门称, Earth Koshchei 背后的威胁组织据称由俄罗斯对外情报局 (SVR) 资助。Earth Koshchei 的特点是多年来持续以西方国家的外交、军事、能源、电信和 IT 公司为目标,其动机被认为主要是间谍活动。Earth Koshchei 以调整其 TTP 而闻名,过去曾部署过多种技术,如密码喷洒、暴力破解休眠账户和水坑攻击。
在趋势科技的全球威胁情报中,我们发现恶意 RDP 鱼叉式网络钓鱼电子邮件已发送给许多目标,包括军方、外交部、乌克兰的目标和学术研究人员。RDP 活动的规模非常庞大:我们在一天内看到的高调目标数量(约 200 个)与另一个 APT 组织(如 Pawn Storm)在几周内的目标数量大致相同。这并不是 Earth Koshchei 第一次与大规模鱼叉式网络钓鱼活动有关:2021 年 5 月,他们还向数千个个人账户发送了鱼叉式网络钓鱼电子邮件。
早在 8 月 7 日至 8 日,攻击者就开始着手准备此次攻击,当时他们开始注册域名,这些域名的名称表明这些域名将用于攻击与澳大利亚和乌克兰政府有关系的目标。最后一个域名于 10 月 20 日注册,显然是针对与荷兰外交部有联系的组织。在此期间,攻击者注册了近 200 个域名,其中许多域名都表明了攻击者的目标。
本报告旨在详细解释 Earth Koshchei 的 RDP 活动发生了什么,如何使用先前发布的红队方法,描述活动的规模以及使用了哪些匿名层。特别是,我们讨论了攻击的基础设施:我们发现了 193 个被积极用于针对各种组织的域名和 34 个流氓 RDP 后端服务器。在我们的评估中,这 193 个域名充当了 34 个后端的代理,这些后端看起来像是 Earth Koshchei 真正的流氓 RDP 服务器。我们已经看到证据表明,一些疑似流氓 RDP 后端服务器与一些 RDP 中继相结合,在 10 月 18 日至 21 日期间被用于两个军事组织和一个云提供商的数据泄露。
恶意 RDP 配置文件:从红队工具到有针对性的攻击
我们调查了发送给欧洲一位学术研究人员的 RDP 配置文件之一。该文件指定了要联系的远程服务器:eu-south-2-aws[.]zero-trust[.]solutions。虽然主机名表明这是一个合法的 Amazon Web Services (AWS) 服务器,但它由 Earth Koshchei 控制。该配置会重定向所有本地驱动器、打印机、COM 端口、智能卡和剪贴板,从而允许远程访问受害者的本地计算机。显然,这可被用于数据泄露。成功建立连接后,将执行名为AWS Secure Storage Connection Stability Test v24091285697854的远程应用程序。在我们进行分析时,远程服务器已经关闭,因此我们无法检查此远程应用程序将执行什么操作。
这种攻击场景由Mike Felch 在 2022 年的 Black Hill 博客文章中描述。它的设置比最初看起来的要复杂得多。攻击者的目标是尽量减少可疑警告并尽可能减少用户交互的需要。因此,Felch 提出了一个想法,即在实际的流氓 RDP 服务器前使用中间人 (MITM) 代理,并使用 Python远程桌面协议 MITM 工具 (PyRDP)。
正如 Black Hill 的博客所述,当受害者尝试使用鱼叉式网络钓鱼攻击中发送的 .RDP 文件时,RDP 攻击就开始了。然后,这会与攻击者的第一个系统建立出站 RDP 连接(图 2)。在这里,攻击者使用 PyRDP 充当 MITM 代理,拦截受害者的连接请求。PyRDP 代理不会将受害者连接到他们认为的合法服务器,而是将会话重定向到攻击者控制的恶意服务器。这种设置使攻击者能够冒充受害者的合法服务器,从而有效地劫持会话。通过这样做,攻击者可以完全了解并控制受害者与 RDP 环境之间的通信。
建立连接后,恶意服务器会模仿合法 RDP 服务器的行为,并利用会话执行各种恶意活动。主要攻击媒介是攻击者部署恶意脚本或更改受害者机器上的系统设置。此外,PyRDP 代理有助于访问受害者的文件系统,使攻击者能够浏览目录、读取或修改文件以及注入恶意负载。此功能使攻击特别危险,因为它允许立即且不可追踪地入侵受害者的端点。
攻击的最后阶段通常涉及数据泄露,攻击者利用被入侵的会话提取敏感信息,例如密码、配置文件、专有数据或其他机密材料。PyRDP 代理可确保任何被盗数据或执行的命令都会被汇回给攻击者,而不会让受害者感到惊慌。RogueRDP 等工具可自动创建令人信服的 RDP 文件,诱使用户发起被入侵的会话,从而进一步增强攻击者的能力。
这种方法不仅证明了 RDP 环境中 MITM 攻击的危险,而且还强调了组织内部安全措施的迫切需要。
| 配置设置 | 价值 | 进攻目的 |
| full address | eu-north-1.regeringskansliet-se.cloud | Redirects the victim to a malicious server. |
| alternate full address | eu-north-1.regeringskansliet-se.cloud | Backup address for ensuring the connection reaches the attacker’s server. |
| drivestoredirect | s:* | Redirects all drives, enabling PyRDP to crawl and exfiltrate the victim’s files. |
| redirectprinters, redirectclipboard, redirectsmartcards, etc. | 1 | Enables redirection of client devices and resources for exploitation. As an example, PyRDP can read the contents of the clipboard. |
| remoteapplicationname | AWS Secure Storage Connection Stability Test v24091285697854 | Misleads the victim into thinking they are accessing a legitimate application. |
| remoteapplicationprogram | AWS Secure Storage Connection Stability Test v24091285697854 | Specifies the application that will be executed and displayed to the victim during the RDP session. This is a critical part of the attack because it allows the attacker to simulate a legitimate application environment. |
| prompt for credentials | 0 | Suppresses security prompts, increasing the stealth of the attack. |
| authentication level | 2 | Lowers the security of the connection, facilitating exploitation. |
表 1 中所示的 RDP 配置文件试图将受害者的 RDP 会话重定向到恶意服务器,从而利用受害者的漏洞发起攻击。PyRDP 之类的工具可以拦截和操纵 RDP 连接,从而增强攻击能力。PyRDP 可以自动抓取受害者重定向的共享驱动器,并将其内容保存在攻击者的机器本地,从而实现无缝数据泄露。攻击首先利用完整地址和备用完整地址字段将受害者重定向到恶意服务器。其他字段(例如remoteapplicationprogram和remoteapplicationname)指定要启动的应用程序,从而营造出虚假的合法性。连接后,恶意服务器可能会使用 PyRDP 执行任务,包括抓取重定向的驱动器和泄露数据。
这次攻击展示了 PyRDP 等工具如何自动化和增强恶意活动,例如系统地抓取重定向驱动器以窃取数据。值得注意的是,受害者的机器本身并没有安装任何恶意软件。相反,具有危险设置的恶意配置文件促进了这次攻击,使其成为一种更隐蔽的离地行动,很可能逃避检测。我们认为 Earth Koshchei 使用了这种方法的最后阶段。我们的分析复制并验证了 193 个代理服务器,这些服务器的主机名通常会暗示目标,并确定了 34 个可能充当恶意 RDP 后端服务器的服务器。
如图 3 所示,受害计算机通过连接到 193 个代理服务器之一与其中一个恶意 RDP 后端服务器建立 RDP 连接。Earth Koshchei 使用 Tor 上的 SSH、VPN 服务和住宅代理来控制代理服务器和恶意 RDP 服务器。
匿名层
Earth Koshchei 的典型 TTP 之一是大量使用匿名层,如商业 VPN 服务、TOR 和住宅代理服务提供商。大量(住宅)代理的使用使得基于阻止 IP 地址指示器的防御策略无效。攻击者将其恶意流量伪装在合法用户共享的网络中,并可以将攻击传播到家庭用户使用的数千个快速变化的 IP 地址上。
这些匿名层也用于最近的 RDP 活动中。我们中等程度地评估,Earth Koshchei 数周来一直在使用 TOR 出口节点来控制在 RDP 活动中设置的 200 多个 VPS 服务器 IP 地址和 34 个恶意 RDP 服务器。鱼叉式网络钓鱼电子邮件是从至少五个合法邮件服务器发送的,这些服务器似乎受到外部攻击。我们的遥测证据表明,Earth Koshchei 使用各种住宅代理提供商和商业 VPN 服务通过 Web 邮件服务器访问了它们。
Earth Koshchei 或其他攻击者很可能在 10 月 22 日攻击高峰期前几周就入侵了电子邮件服务器。在我们的遥测中,我们统计出大约 90 个唯一 IP 地址用于连接到被入侵的电子邮件服务器以发送垃圾邮件。在这 90 个 IP 地址中,有一个出口节点来自一个相对较新的商业点对点 VPN 服务提供商,该服务提供商接受加密货币支付。其他 IP 地址可能是几个住宅代理服务提供商的出口节点。
时间线
我们评估 Earth Koshchei 在 8 月 7 日至 10 月 20 日期间设置了 200 多个域名(图 4 和图 5)。对于其中的 193 个域名,我们能够验证这些域名确实是为 RDP 活动设置的。因此,我们以中等可信度评估这些域名是 Earth Koshchei 使用的。还有几十个其他域名似乎属于 Earth Koshchei 入侵集,但我们没有发现这些域名被使用的证据。
这些域名都是分批设置的,并且总是在工作日,只有一个域名除外,该域名显然是针对与荷兰外交部有关的组织。大多数域名的性质清楚地表明了预期目标(图 6),但我们只能在几个案例中将建议的目标与实际目标进行核实。2024 年 8 月,注册的域名表明针对的是欧洲、美国、日本、乌克兰和澳大利亚的政府和军队。本月底,注册的域名似乎与云提供商和 IT 公司有关。然后,在 2024 年 9 月,出现了一批似乎基于几个智囊团和非营利组织的域名。还有几个域名与 Zoom、Google Meet 和 Microsoft Teams 等在线虚拟平台有关。
后端恶意 RDP 服务器很可能是在 9 月 26 日至 10 月 20 日期间设置的。我们无法恢复可能在 10 月 22 日之前发送的明确电子邮件样本,但我们确实认为恶意 RDP 服务器在 10 月 18 日至 21 日期间被用于针对军方和云提供商的目标进行数据泄露。10 月 22 日之前可能还有其他目标,但我们没有明确的证据。
归因
根据 TTP、受害者分析和其他公司的研究,我们以中等可信度将 RDP 活动归因于 Earth Koshchei。恶意 RDP 活动中使用的 TTP 对 Earth Koshchei 来说非常典型:住宅代理服务提供商、TOR 和商业 VPN 服务的目标和大量使用引人注目。我们能够以中等可信度将 193 个代理服务器及其域名和 34 个恶意 RDP 服务器归因于 Earth Koshchei。
IOCS
Earth Koshchei Coopts Red Team Tools in Complex RDP Attacks
=============================================================================================================================================================
[Suspected Earth Koshchei infrastructure hosting the actual rogue RDP servers (low confidence)]
=============================================================================================================================================================
[Hostname] [IP address] [Not before] [Not after]
DC.SUN.LOCAL 185.243.114.9 26/09/2024 28/03/2024
DC.CHAIN.LOCAL 5.187.49.186 29/09/2024 31/03/2025
DC.FINISH.LOCAL 103.144.139.254 29/09/2024 31/03/2025
DC.FIRE.LOCAL 185.177.126.225 29/09/2024 31/03/2025
DC.GEAR.LOCAL 185.100.234.105 29/09/2024 31/03/2025
DC.GEO.LOCAL 45.137.21.10 29/09/2024 31/03/2025
DC.HERO.LOCAL 185.243.112.24 29/09/2024 31/03/2025
DC.KATANA.LOCAL 185.243.115.124 29/09/2024 31/03/2025
DC.KEY.LOCAL 45.86.162.170 29/09/2024 31/03/2025
DC.LAND.LOCAL 46.30.189.91 29/09/2024 31/03/2025
DC.LIMBO.LOCAL 175.110.112.221 29/09/2024 31/03/2025
DC.MARBLE.LOCAL 92.204.164.50 29/09/2024 31/03/2025
DC.MAY.LOCAL 103.144.139.73 29/09/2024 31/03/2025
DC.MAY.LOCAL 103.144.139.74 29/09/2024 31/03/2025
DC.OCEAN.LOCAL 185.172.39.220 29/09/2024 31/03/2025
DC.OFFICE.LOCAL 5.183.95.158 29/09/2024 31/03/2025
DC.SAINT.LOCAL 175.110.114.9 29/09/2024 31/03/2025
DC.TIGER.LOCAL 46.30.189.62 29/09/2024 31/03/2025
DC.VIPER.LOCAL 195.3.220.48 29/09/2024 31/03/2025
DC.AIR.LOCAL 46.30.188.187 08/10/2024 09/04/2025
DC.BACON.LOCAL 178.255.43.30 08/10/2024 09/04/2025
DC.BLACK.LOCAL 104.161.58.10 08/10/2024 09/04/2025
DC.GREEN.LOCAL 5.183.95.240 08/10/2024 09/04/2025
DC.HALLWAY.LOCAL 37.28.153.214 08/10/2024 09/04/2025
DC.COLA.LOCAL 45.82.66.39 09/10/2024 10/04/2025
DC.FINISH.LOCAL 103.144.139.253 09/10/2024 10/04/2025
DC.PANDA.LOCAL 193.29.56.221 09/10/2024 10/04/2025
DC.HDHP.LOCAL 162.216.243.210 11/10/2024 12/04/2025
DC.EAGLE.LOCAL 141.195.117.126 17/10/2024 18/04/2025
DC.EAGLE.LOCAL 141.195.117.127 17/10/2024 18/04/2025
DC.EAGLE.LOCAL 141.195.117.128 17/10/2024 18/04/2025
DC.EAGLE.LOCAL 141.195.117.129 17/10/2024 18/04/2025
DC.KIWI.LOCAL 172.86.73.187 17/10/2024 18/04/2025
DC.MAIN.LOCAL 155.138.238.169 17/10/2024 18/04/2025
DC.TRACK.LOCAL 37.28.157.246 17/10/2024 18/04/2025
DC.BOB.LOCAL 185.187.155.69 18/10/2024 19/04/2025
DC.STAR.LOCAL 66.206.13.130 19/10/2024 20/04/2025
DC.HAMMER.LOCAL 185.172.39.230 20/10/2024 21/04/2025
DC.SONIC.LOCAL 45.137.21.11 20/10/2024 21/04/2025
=============================================================================================================================================================
[Earth Koshchei domain names (medium confidence). Likely acting as an RDP relay to backend RDP servers controlled by Earth Koshchei.]
=============================================================================================================================================================
[Domain] [IP address]
gov-au.cloud 45.11.230.105
ua-mil.cloud 23.160.56.100
mil-ee.cloud 45.141.58.60
defence-au.cloud 38.180.199.28
gov-aws.cloud 45.134.110.83
gov-fi.cloud 89.35.131.153
gov-gr.cloud 185.76.79.244
gov-lt.cloud 95.217.113.133
kam-lt.cloud 185.187.155.74
mae-ro.cloud 185.76.79.60
mfa-gov-tr.cloud 141.195.117.125
aws-ukraine.cloud 84.32.188.193
gov-ua.cloud 38.180.146.210
govtr.cloud 185.76.79.118
govua.cloud 2.58.201.112
mfa-gov.cloud 185.76.79.178
s3-army.cloud 38.180.146.193
saiccloud.us 142.91.38.80
ukrtelecom.cloud 84.32.188.197
us-army.cloud 166.0.187.231
us-mil.cloud 89.46.234.115
awsplatform.online 179.43.148.82
go-jp.cloud 178.239.171.41
ua-gov.cloud 45.80.193.9
gv-at.cloud 179.43.180.74
s3-be.cloud 45.67.85.40
ukrainesec.cloud 5.133.9.252
amazonsolutions.cloud 81.17.31.106
defense-gouv.cloud 38.180.90.36
europa-eu.cloud 172.86.70.64
gouv-fr.cloud 185.76.79.130
mapn-ro.cloud 166.0.187.242
mde-es.cloud 151.236.16.149
mil-be.cloud 84.32.188.153
mvep-hr.cloud 185.187.155.81
s3-dk.cloud 166.0.187.235
ua-sec.cloud 45.134.111.123
dep-no.cloud 212.1.213.198
difesa-it.cloud 151.236.16.220
gov-pl.cloud 23.160.56.122
morh-hr.cloud 166.0.187.243
msz-pl.cloud 62.72.7.213
quirinale.cloud 151.236.16.226
mil-pl.cloud 93.188.163.16
mzv-cz.cloud 2.58.203.61
s3-nato.cloud 95.156.207.121
gov-sk.cloud 185.216.72.196
mzv-sk.cloud 185.76.79.62
regeringskansliet-se.cloud 162.252.172.167
s3-de.cloud 166.0.187.233
ua-energy.cloud 84.32.188.148
zixcorp.cloud 158.255.213.49
bund-de.cloud 38.180.146.230
mindef-nl.cloud 80.87.206.241
presidencia-pt.cloud 158.255.213.227
symbolsecurity.cloud 38.180.230.79
trustifi.cloud 37.1.196.172
s3-ua.cloud 84.32.188.200
skykick.solutions 109.205.214.50
softcat.cloud 190.211.254.32
swcloud.us 109.205.214.45
veeam.solutions 146.71.81.13
shicloud.online 185.187.155.33
s3-stig.cloud 104.225.129.128
parseccomputer.cloud 109.205.214.52
rrt.solutions 188.214.33.222
rubrik.zone 93.188.164.74
s3-proofpoint.cloud 45.11.230.111
polycom.solutions 23.160.56.105
pulsesecure.cloud 45.11.230.155
s3-esa.cloud 45.11.231.9
s3-rackspace.cloud 23.227.194.189
servicenowinc.us 166.0.187.236
aeinc.solutions 82.180.139.47
capgemini.services 23.160.56.110
mod-cloud.uk 45.11.230.60
nrcc.cloud 38.180.83.120
s3-dnc.cloud 151.236.16.128
s3-knowbe4.cloud 158.255.213.185
s3-pt.cloud 45.11.231.8
sipacolumbia.us 23.108.190.249
brookings.cloud 185.76.79.140
citoc.cloud 178.162.203.91
clari.cloud 104.36.229.110
justice.technology 166.0.187.241
s3-aws.global 45.41.187.233
s3-blackberry.cloud 23.160.56.115
4freerussia.cloud 162.252.172.223
democracyendowment.cloud 149.154.158.205
gmfus.cloud 38.180.146.30
mimecast.cloud 151.236.16.236
stratfor.cloud 194.37.97.189
barracuda.solutions 151.236.16.98
caci.solutions 151.236.16.138
druva.cloud 166.0.187.245
exclaimer.solutions 158.255.213.154
mil-pt.cloud 162.252.175.233
oktacloud.us 172.96.137.125
s3-atlassian.cloud 212.1.213.200
s3-monitoring.cloud 38.180.81.168
s3-us.navy 185.187.155.72
s3-zoho.cloud 185.76.79.233
usaid.cloud 38.180.146.216
wrapsnet.cloud 193.200.17.162
zoommeeting.zone 2.58.200.78
albrightstonebridge.cloud 38.180.146.28
backupify.cloud 151.236.16.24
cer.zone 151.236.16.193
crisisgroup.services 151.236.16.22
forces-gc.cloud 45.67.84.14
heritagecloud.org 162.252.172.158
s3-acronis.cloud 151.236.16.38
s3-bah.cloud 198.50.106.140
s3-cloud.us 166.0.187.183
s3-fbi.cloud 2.58.201.27
s3-rand.cloud 23.160.56.90
s3-ucia.cloud 149.154.158.250
zero-trust.solutions 13.49.21.253
amazonmeeting.cloud 45.134.111.126
aspeninstitute.cloud 151.236.22.36
c-r.services 38.180.88.106
ceip.cloud 185.76.79.190
cepa.solutions 38.180.146.32
cnas.zone 185.187.155.79
eopgov.cloud 162.252.172.155
freedomhouse.cloud 149.154.158.85
gc-cloud.ca 89.46.234.152
googlemeet.zone 166.0.187.199
macfound.services 185.76.79.167
microsoft-meeting.cloud 192.36.27.226
prio.zone 185.187.155.78
admin-ch.cloud 45.11.230.144
americanprogress.cloud 23.160.56.123
csbaonline.cloud 185.76.79.86
s3-csis.cloud 38.180.5.60
s3-dgap.cloud 176.97.70.55
s3-ida.cloud 166.0.187.252
s3-iri.cloud 185.76.79.229
s3-state.cloud 185.76.79.59
ua-aws.army 38.180.110.238
usip.us 45.134.110.78
asucloud.us 185.172.39.52
clearancejobs.cloud 198.50.106.141
cwinc.cloud 149.154.158.63
europeanvalues.cloud 185.216.72.192
google-meet.cloud 185.172.39.50
microsoftmeeting.cloud 2.58.200.79
s3-hudson.cloud 158.255.213.168
s3-marcus.cloud 45.141.58.59
s3-ned.cloud 38.180.83.103
s3-spacex.cloud 89.46.234.93
statecloud.us 151.236.16.102
foreignpolicy.cloud 158.255.213.192
mfa-gov-il.cloud 179.43.163.18
mod-gov-il.cloud 46.19.141.186
ms-meetings.online 185.216.72.182
ncfta.cloud 192.121.23.126
ncsc.solutions 166.0.187.237
ndu.solutions 209.182.225.10
opensocietyfoundations.cloud 23.160.56.95
s3-aws.cloud 38.180.137.213
s3.army 151.236.16.245
wilsoncenter.cloud 2.58.200.80
zoommeeting.today 38.180.146.178
ecfr.cloud 38.180.91.2
go-meet-up.com 162.252.172.59
zoom-meeting.live 185.187.155.71
aws-meet.cloud 193.29.59.9
awsmeet.cloud 151.236.15.134
go-conference.cloud 149.28.9.18
go-meeting.online 45.134.110.82
zoom-meeting.pro 38.180.136.93
gov-lv.cloud 135.181.130.232
aws-il.cloud 185.216.72.185
awsmeetings.online 2.58.14.80
cfr-aws.cloud 151.236.16.213
go-meeting.cloud 45.134.110.55
ms-conference.cloud 104.238.57.40
ms-meeting.online 162.252.172.109
zoom-meeting.cloud 151.236.22.149
zoom-meeting.today 192.36.57.107
zoom-meetings.cloud 166.0.187.240
go-meet.pro 45.137.213.17
ms-meeting.com 185.76.79.53
msconferences.cloud 185.76.79.16
aws-data.cloud 151.236.16.101
aws-meetings.cloud 104.238.60.216
aws-join.cloud 151.236.14.116
gov-trust.cloud 185.172.39.51
s3-nsa.cloud 149.154.158.133
ssi-gouv-fr.cloud 38.180.146.29
aws-online.cloud 185.187.155.73
minbuza.cloud 46.249.38.131
=============================================================================================================================================================
[Rogue RDP configuration files]
=============================================================================================================================================================
[SHA256] [Filename] [Target country]
50bed47064e4ecd01c4a9271e63af7cfdf52ea4096f205470e41eef7eb01c1e1 AWS Secure Data Exchange - Compliance Check.rdp CZ
648afcc709ac18c4fe235d24bf51a8230e9700b97c3dcc0a739816966f2b58b6 AWS Secure Data Exchange - Compliance Check.rdp SE
280fbf353fdffefc5a0af40c706377142fff718c7b87bc8b0daab10849f388d0 AWS IAM Configuration.rdp UA
f357d26265a59e9c356be5a8ddb8d6533d1de222aae969c2ad4dc9c40863bfe8 AWS IAM Compliance Check.rdp UA
ba4d58f2c5903776fe47c92a0ec3297cc7b9c8fa16b3bf5f40b46242e7092b46 Zero Trust Security Environment Compliance Check.rdp TR
8b45f5a173e8e18b0d5c544f9221d7a1759847c28e62a25210ad8265f07e96d5 Zero Trust Security Environment Compliance Check.rdp EE
36e45fdeba3fdb3708fb1c2602c30cb5b66fbc5ea790f0716390d9f69c363542 AWS Secure Data Exchange Compliance.rdp BE
2fb1d01f9859c676ef37b060c5e8db0a12472c96260114a6edee45d8546184c9 IAM Identity Center Application Access.rdp UA
a246253fab152deac89b895a7c1bca76498b4aa044c907559c15109c1187a448 Zero Trust Architecture Configuration.rdp EE
1c1941b40718bf31ce190588beef9d941e217e6f64bd871f7aee921099a9d881 AWS IAM Compliance Check.rdp UA
f32fa0e3902a1f287280e2e6ddcbfe4fc0a47f1fa5ddb5e04a7651c51343621e Device Security Requirements Check.rdp UK
=============================================================================================================================================================
[Subject lines in the spear-phishing e-mails]
=============================================================================================================================================================
AWS IAM Expansion Notification
AWS IAM Identity Center Launch
AWS Infrastructure Deployment
AWS SDE - Secure Data Exchange
AWS SDE Launch Notification
AWS SDE: The Next Gen Platform for Secure Exchange
Amazon & [REDACTED COUNTRY TLD] MoD
Amazon's Next Step in Internet Data Exchange (ZTS)
Cloud Infrastructure Extension Plan Update
Compliance Check Required for New ZTS Platform
Cyber Security Partnership Notification
DMARC ViolationCompliance Check Required for New Platform
DMARC ViolationIAM Identity Center: Unified Access
DMARC ViolationMicrosoft & Amazon Security Partnership
Data Protection Enhanced with Zero Trust Architecture
IAM Identity Center Update
IAM Identity Center: Unified Access
Microsoft & Amazon Cloud Extension Update
Microsoft & Amazon Security Partnership
New AWS Platform Features
New Platform – AWS Secure Data Exchange
New Zero Trust Model Implementation on AWS
Next Gen Secure Platform Launch
Secure Data Exchange Update
Secure and Compliant Access to All Resources Ahead
Transparent Data Access via AWS Secure Data Exchange
UA support
ZTS Compliance Check Required
ZTS Future of Data Exchange Ahead
ZTS Implementation by Amazon & Microsoft
Zero Trust Model Implementation
Zero Trust Solution Testing in Progress
