Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse

In October 2024, the Global Threat Intelligence Group (GTIG) tracked an email phishing campaign targeting European governments and the military. GTIG tracked this phishing attack to a unit called UNC5837. UNC5837 is believed to be a suspected Russian-nexus espionage hacker outfit.

Im Oktober 2024 verfolgte die Global Threat Intelligence Group (GTIG) eine E-Mail-Phishing-Kampagne, die sich gezielt gegen europäische Regierungsstellen und das Militär richtete. Die Spur führte zu einer Einheit namens UNC5837, die als russisch-nahestehende Spionagegruppe eingestuft wird.

Im Anhang der Phishing-E-Mails befand sich eine RDP-Datei. Nutzer, die versuchten, diese zu öffnen, lösten unbeabsichtigt eine sogenannte „Rogue-RDP“-Sitzung aus.

Das Remote Desktop Protocol (RDP) wird üblicherweise für den Fernzugriff auf Workstations und Server genutzt. Allein seine Präsenz wird in vielen Organisationen jedoch nicht automatisch als Bedrohung wahrgenommen – ein gefährlicher Trugschluss.

RDP als Einfallstor bei der EU? Von einem Einzelfall kann keine Rede sein.

Dieser RDP-Angriff sollte als deutliches Warnsignal für alle Organisationen verstanden werden, die Remote Desktop Protocol weiterhin ohne ausreichende Schutzmaßnahmen nutzen. Wer auf Sicherheitsvorkehrungen verzichtet, riskiert ähnliche Konsequenzen wie die betroffenen EU-Behörden.

  • Fakt: Schwache Passwörter im RDP-Zugriff erhöhen signifikant das Risiko erfolgreicher Brute-Force-Angriffe und damit schwerwiegender Sicherheitsverletzungen.
  • Fakt: Die Nutzung von RDP mit Standard-Sicherheitseinstellungen begünstigt unautorisierte Proxy-Sitzungen – insbesondere auf Laufwerksfreigaben und Dateisysteme.
  • Fakt: Ohne den Einsatz fortschrittlicher Monitoring-Tools oder MDR-Dienste bleiben frühe Anzeichen eines Rogue-RDP-Angriffs in der Regel unentdeckt.

Folgen der RDP-Angriffe in Europa

Die gezielte Attacke von UNC5837 auf europäische Regierungen und deren militärische Forschungs- und Entwicklungsprogramme macht die eigentliche Absicht der Gruppe deutlich. Besonders alarmierend ist ihre Fähigkeit, lokale Laufwerksressourcen aus der Ferne auf eigene Server umzuleiten – eine Technik, die eine simultane und weitgehend unentdeckte Datenexfiltration ermöglicht.

Dabei stehen nicht nur technische Informationen auf dem Spiel: NATO-Kriegspläne, Truppenbewegungen und selbst politische Differenzen im Zusammenhang mit dem Ukraine-Krieg könnten auf diese Weise kompromittiert werden.

Solche Angriffe wurden bereits mehrfach beobachtet – auch bei anderen europäischen Regierungen. Zum Einsatz kamen dabei bekannte RDP-Tools, darunter gezielte Port- und Crawler-Scans, mit denen sich Schwachstellen effektiv ausnutzen lassen.

Besonders brisant: Einige dieser Angriffe wurden direkt aus der europäischen Cloud-Infrastruktur von Microsoft heraus initiiert.

Die RDP-Waffe der UNC5837-Gruppe im Überblick

Der Missbrauch des Remote Desktop Protocol (RDP) als Angriffsvektor ist kein neues Phänomen. Sicherheitsteams weltweit kennen die Schwachstellen des Protokolls – ebenso wie die Risiken, die durch Phishing-Kampagnen entstehen.

Im vorliegenden Fall tarnte sich die Phishing-Mail als Mitteilung zu einem angeblichen Gemeinschaftsprojekt von Amazon, Microsoft und der Staatlichen Sicherheits- und Kommunikationsagentur der Ukraine. Der Anhang enthielt eine RDP-Datei, die angeblich projektbezogene Inhalte bereitstellen sollte. Besonders perfide: Die Absender warnten explizit davor, persönliche Daten einzugeben, und forderten die Empfänger auf, etwaige Fehlermeldungen zu ignorieren – mit dem Hinweis, das System würde automatisch eine Sicherheitsmeldung an die zuständige IT-Abteilung senden.

In der beigefügten RDP-Datei waren Konfigurationsbefehle eingebettet, die definieren, welche Funktionen während der Remote-Sitzung verfügbar sind. So erhielten Angreifer Zugriff auf Tastatur, Maus, Drucker, lokale Laufwerke – und nicht zuletzt auf die Zwischenablage des kompromittierten Windows-Systems.

PyRDP: Turning Known RDP Utilization into a Rogue Tool

PyRDP: Vom legitimen Tool zur Waffe im Schattennetz

PyRDP ist ein Proxy-Werkzeug, das gezielt dazu eingesetzt wurde, RDP in diesem Angriff zu automatisieren und gleichzeitig einer Erkennung zu entgehen. Dabei werden keine klassischen Schwachstellen ausgenutzt oder offengelegt – stattdessen erweitert PyRDP die Steuerungsmöglichkeiten zugunsten des unautorisierten Remote-Benutzers.

Im konkreten Fall nutzte der Angreifer PyRDP auf einem Man-in-the-Middle-(MiTM)-Server, um die Zugangsdaten der Nutzer abzugreifen.

Diese Art von Anmeldedaten-Diebstahl ermöglicht es, bestehende Laufwerkszuordnungen des Opfers gezielt auf einen manipulierten RDP-Server umzuleiten – ohne dass der Angriff direkt auffällt.heft tool extends the hacker’s ability to redirect the victim’s drive mappings to a rogue RDP server.

Warum diese Kill Chain globale CERT-Teams alarmiert

Moderne SecOps-Systeme sind darauf ausgelegt, auffällige Verhaltensmuster in Anwendungen, abweichende Nutzerinteraktionen sowie verdächtige Datenabflüsse an Remote-Server zu erkennen. Doch genau hier zeigt sich die Raffinesse des Angriffs von UNC5837: Die Angreifer nutzten die RemoteApp-Funktion gezielt als Ablenkung – getarnt als harmloser „AWS Secure Storage Connection Stability Test“.

Ein derartiges Verhalten kann während einer RDP-Sitzung leicht als unkritisch eingestuft und von Sicherheitsverantwortlichen übersehen werden.

RemoteApp ist eine optionale RDP-Funktion, bei der Programme zwar auf einem Remote-Server ausgeführt, jedoch als normale Fensteranwendungen auf dem Client-System dargestellt werden. Diese Technik erlaubt es Angreifern, bösartige Programme lokal erscheinen zu lassen, ohne dass diese tatsächlich auf dem Rechner des Opfers gespeichert oder ausgeführt werden müssen.

Eine Analyse ergab, dass die eingesetzte RemoteApp nicht lokal installiert oder aktiv war – ein gängiges Verfahren, das auch von legitimen Sicherheitsteams genutzt wird, um Anwendungen wie Outlook.exe, Word.exe oder Excel.exe auf entfernten RDP-Servern auszuführen.

Im vorliegenden Fall nutzte UNC5837 RemoteApp, um über eine verschlüsselte Verbindung gezielt Befehlszeilenanweisungen auf RDP-Servern der UNC58776-Infrastruktur auszuführen. Dadurch wurden fortschrittliche Endpoint-Schutzsysteme daran gehindert, den Start lokaler .exe-Dateien zu erkennen.

Der beunruhigendste Aspekt: Der Angriff basierte nicht auf einer ausgenutzten Schwachstelle, sondern auf der bewussten Erweiterung legitimer RDP-Funktionen. Das wirft eine zentrale Frage auf: Worauf genau sollen Sicherheitsteams künftig achten, um vergleichbare Angriffe rechtzeitig zu erkennen und zu verhindern?

Aktuelle und zukünftige Sicherheitsrisiken im Zusammenhang mit RDP

Wie bei vielen frühen Microsoft-Technologien lag der Fokus bei der Entwicklung des Remote Desktop Protocol (RDP) vor allem auf Benutzerfreundlichkeit und Funktionalität – weniger auf Sicherheit. RDP bietet leistungsstarke Features wie End-to-End-Verschlüsselung, die Remote-Ausführung von Programmen und die Unterstützung vollständig virtualisierter Desktop-Umgebungen.

Diese Anwendungsfälle bleiben für viele Unternehmen relevant – und damit auch das Risiko.

Die interne Einschränkung von RDP-ähnlichen Funktionen ist zwar ein sinnvoller erster Schritt. Doch mit dem zunehmenden Umstieg auf hybride Cloud-Infrastrukturen im Rahmen digitaler Transformationsstrategien entstehen neue Angriffspunkte. Insbesondere die Nutzung von RDP in Cloud-Instanzen kann dabei zur sicherheitskritischen Schwachstelle werden.

Das Unvermeidbare verhindern

Microsofts Remote Desktop Protocol (RDP) bietet verschiedene Sicherheitsfunktionen, darunter Netzwerkebene-Authentifizierung, Verschlüsselung und granulare Zugriffskontrollen. Die Authentifizierung auf Netzwerkebene verlangt eine Nutzerverifizierung noch vor Aufbau der eigentlichen Sitzung – ein wirksamer Schutzmechanismus. Verschlüsselung verhindert das Abhören sensibler Daten, und durch Zugriffskontrollen lassen sich Berechtigungen gezielt verwalten und der Zugriff auf kritische Ressourcen einschränken.

Trotz dieser Schutzmechanismen bleibt RDP ein lohnendes Angriffsziel. Brute-Force-Attacken zählen weiterhin zu den größten Risiken, insbesondere bei schwachen Passwörtern und fehlenden Sperrmechanismen nach fehlgeschlagenen Login-Versuchen. Ohne zusätzliche Schutzebenen ist RDP zudem anfällig für Man-in-the-Middle-Angriffe, Session-Hijacking oder das Auslesen von Netzwerkverkehr durch Sniffing.

Empfehlungen

Um Angriffe über RDP-Ressourcenumleitung wirksam zu unterbinden, reicht eine einzelne Schutzmaßnahme nicht aus. Der gezielte Einsatz mehrerer Angriffsvektoren innerhalb der Kill Chain von UNC5837 verdeutlicht, wie wichtig ein mehrschichtiger Sicherheitsansatz ist. Nur durch die Kombination verschiedener Verteidigungsmechanismen lässt sich ein wirksamer Schutz gegen komplexe Bedrohungen gewährleisten.

Erweiterte Protokollierung für Windows-Systemems

Protokolldaten lieferten SecOps-Ingenieuren entscheidende Hinweise zur schnellen Erkennung unautorisierter RDP-Sitzungen – etwa wenn RDP unerwartet auf einer oder mehreren Windows-Workstations aktiv wurde. Durch den Einsatz erweiterter Detection- und Response-Plattformen (XDR) sowie KI-gestützter MDR-Dienste lassen sich solche Aktivitäten noch schneller und präziser identifizieren.

Erweiterte E-Mail-Sicherheit zur Erkennung von RDP-Dateien

Unternehmen sollten auf fortschrittliche E-Mail-Sicherheitslösungen setzen, die künstliche Intelligenz nutzen, um Anhänge gezielt nach verdächtigen Dateitypen zu durchsuchen – insbesondere nach RDP-Konfigurationsdateien, die mit externen Adressen verknüpft sind.

Aktivierung von Windows-Sicherheitsrichtlinien

Der Angriff von UNC5837 basierte auf regulären RDP-Funktionen – gerade deshalb ist das Aktivieren restriktiver OS-Richtlinien essenziell. Dazu zählen das Blockieren von Remote-Umleitungen für Laufwerke, Tastatureingaben und Mausaktionen sowie das Sperren verdächtiger Registrierungseinträge.

Fazit und Empfehlungen

This attack highlights that even the best-intentioned IT tools, such as RDP, can be compromised and used maliciously. Enabling proactive monitoring, strong defensive layers, and awareness training keeps attacks like this from happeningDer vorliegende Angriff zeigt deutlich, dass selbst etablierte IT-Werkzeuge wie das Remote Desktop Protocol (RDP) gezielt kompromittiert und für kriminelle Zwecke missbraucht werden können. Nur durch proaktive Überwachung, mehrschichtige Sicherheitsarchitekturen und kontinuierliche Sensibilisierung der Mitarbeitenden lassen sich derartige Angriffe effektiv verhindern.

Unternehmen, die mit Fachkräftemangel im Bereich IT-Security zu kämpfen haben, sollten in Erwägung ziehen, einen MDR-Anbieter wie ForeNova zu beauftragen. Dessen KI-gestützte Überwachungs-, Protokollierungs- und automatisierte Response-Funktionen bieten eine wirkungsvolle Grundlage, um unautorisierte RDP-Sitzungen frühzeitig zu erkennen und den Diebstahl sensibler Daten und Zugangsdaten zu verhindern..

Noodlophile InfoStealer enttarnt: Wie KI-Werbung auf Facebook eine Python-basierte Datendiebstahl-Kette auslöste

Angreifer nutzten Facebook, um KI-generierte Werbeanzeigen zu schalten und Nutzer auf eine manipulierte Website zu locken. Die Anzeige versprach, Standbilder in lebendige Videos zu verwandeln. Nachdem ein gefälschter Fortschrittsbalken 100 % erreicht hatte, wurde den Nutzern ein ZIP-Archiv zum Download angeboten, das Folgendes enthielt:

Unter den entpackten Dateien befand sich eine ausführbare Datei mit dem irreführenden Namen „Video Luma MachineAI.mp4.exe“. Zwischen „.mp4“ und „.exe“ wurden mehrere Unicode-No-Break-Space-Zeichen (\xe2\xa0\x80) eingefügt, um die Datei als harmloses Video erscheinen zu lassen. Der Ordner „5.0.0.1886“ war sowohl mit dem System- als auch dem Versteckt-Attribut versehen und wurde daher standardmäßig im Dateiexplorer nicht angezeigt.

Beim Doppelklick auf die .exe-Datei wird „Capcut.exe“ im Verzeichnis „5.0.0.1886“ ausgeführt, woraufhin sich der ursprüngliche Prozess beendet.

„Capcut.exe“ ist eine .NET-Anwendung. Nach dem Start ruft sie wiederholt „https[:]//google.com“ auf und pausiert kurz. Anschließend werden im Verzeichnis „5.0.0.1886\software“ Dateien umbenannt: „meta“ wird zu „image.exe“ und „Document.docx“ zu „install.bat“. Die neue „image.exe“ ist in Wirklichkeit WinRAR, und „install.bat“ wird direkt im Anschluss ausgeführt.

Das Batch-Skript dekodiert „Document.pdf“ in „ppIuqewlq.rar“ und extrahiert diese Datei anschließend mithilfe von „image.exe“ (WinRAR) still und ohne Benutzerinteraktion nach %LOCALAPPDATA%\SoftwareHost. Das für die Extraktion verwendete Passwort lautet: TONGDUCKIEMDEVELOPER2025. Der entpackte Inhalt umfasst eine vollständige Python-Laufzeitumgebung samt aller benötigten Abhängigkeiten. Die Datei „srchost.exe“ ist in Wirklichkeit eine umbenannte „python.exe“.

Über „srchost.exe“ lädt die Malware externen Code nach und führt ihn aus. Das heruntergeladene Skript verwendet exec(), um ein serialisiertes (marshaled) Python-Objekt auszuführen. Dieses Objekt wurde anschließend für Analysezwecke dekompiliert.

Die disassemblierten Opcodes umfassen über 60.000 Zeilen – größtenteils bedeutungslose Instruktionen, die gezielt die Analyse erschweren sollen. Die relevanten Befehle befinden sich in den letzten 500 Zeilen. Zur Unterstützung der Analyse wurden KI-gestützte Tools eingesetzt, um aus den Opcodes den ursprünglichen Python-Code zu rekonstruieren.

Auch wenn der mithilfe von KI rekonstruierte Code möglicherweise nicht exakt dem Original entspricht, bietet er eine nützliche Grundlage für die manuelle Überprüfung. Im weiteren Verlauf wird ein weiteres marshaled-Objekt entdeckt, das auf dieselbe Weise dekompiliert wird, um den Quellcode zu extrahieren.

Der finale Code führt gezielten Datendiebstahl durch und hat es auf folgende Informationen abgesehen: Browser-Cookies, Browserverlauf und gespeicherte Zugangsdaten, Gespeicherte Kreditkartendaten, Facebook-Zugangsdaten und Kontoinformationen:

Sämtliche gestohlenen Daten werden in einem Archiv zusammengefasst, über einen Telegram-Bot übertragen und anschließend vom System des Opfers gelöscht.

HellCat Ransomware im Überblick: Eine neue Angriffswelle im Zeitalter von RaaS

Zusammenfassung

Die HellCat-Ransomware trat erstmals im Jahr 2024 in Erscheinung. Sie verbreitet sich hauptsächlich über Spear-Phishing-E-Mail-Anhänge sowie durch das Ausnutzen von Schwachstellen in Anwendungen wie Atlassian Jira und Palo Alto PAN-OS (z. B. CVE-2024-0012 und CVE-2024-9474). HellCat folgt dem Ransomware-as-a-Service-Modell (RaaS) und richtet sich gezielt gegen besonders wertvolle Ziele und Regierungsorganisationen. Die Gruppe stellt Partnern Werkzeuge und Infrastruktur zur Verfügung – im Gegenzug erhalten sie einen Anteil an den Lösegeldeinnahmen.

Analyse

Nach der Ausführung zeigt die Ransomware eine Lösegeldforderung mit dem Dateinamen „README.txt“ an. Die Opfer werden darin aufgefordert, die Angreifer über einen Onion-Link oder per E-Mail zu kontaktieren. Die Nachricht enthält außerdem ein Benutzerkonto und ein Passwort.

Details zur Payload

The HellCat payload is a standard 64-bit PE file, approximately 18KB in size, capable of encrypting specific directories or the full disDie HellCat-Payload ist eine standardmäßige 64-Bit-PE-Datei mit einer Größe von etwa 18 KB. Sie kann gezielt bestimmte Verzeichnisse oder ganze Laufwerke verschlüsseln.

Verschlüsselungsmethode

HellCat verwendet AES im CBC-Modus zur Dateiverschlüsselung. Der AES-Schlüssel selbst wird zusätzlich mit RSA verschlüsselt.

Mechanismus zur Selbstlöschung

HellCat nutzt darüber hinaus Windows-Befehle zur Selbstlöschung. Wenn die Ransomware-Datei noch vorhanden ist, versucht sie wiederholt, sich selbst zu löschen. Der entsprechende Befehl wird in eine Datei geschrieben und ausgeführt. Während dieses Vorgangs wird die Lösegeldforderung „README.txt“ geöffnet.

Indikatoren für eine Kompromittierung (IOC)

SHA256 Hashes of HellCat Samples93aa8b0f950a7ea7f0cee2ba106efaacf673bb2b504ca0b9e87f9ea41acfb599
5b492a70c2bbded7286528316d402c89ae5514162d2988b17d6434ead5c8c274
Onion Link hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onion
File Extensions Excluded from Encryption .dll
.sys
.exe
.drv
.com
.cat

Empfehlungen

  • Regelmäßige Updates
    Überprüfen und aktualisieren Sie regelmäßig alle Software- und Betriebssysteme – insbesondere sicherheitskritische Anwendungen wie Atlassian Jira und Palo Alto PAN-OS – um bekannte Schwachstellen (z. B. CVE-2024-0012 und CVE-2024-9474) zu schließen.
  • Prinzip der minimalen Rechtevergabe
    Beschränken Sie den Zugriff auf Systeme und Daten strikt auf das, was Nutzer für ihre Rolle benötigen. So stellen Sie sicher, dass nur autorisierte Personen sensible Informationen und kritische Systeme erreichen können.
  • Sicherheitsüberwachung und Reaktion
    Setzen Sie auf eine kontinuierliche Überwachung von Sicherheitsereignissen sowie auf etablierte Mechanismen zur Incident Response, um Bedrohungen frühzeitig zu erkennen und Schäden zu minimieren.