Missbrauch des Windows-RDP: Eine sicherheitskritische Analyse

In October 2024, the Global Threat Intelligence Group (GTIG) tracked an email phishing campaign targeting European governments and the military. GTIG tracked this phishing attack to a unit called UNC5837. UNC5837 is believed to be a suspected Russian-nexus espionage hacker outfit.

Im Oktober 2024 verfolgte die Global Threat Intelligence Group (GTIG) eine E-Mail-Phishing-Kampagne, die sich gezielt gegen europäische Regierungsstellen und das Militär richtete. Die Spur führte zu einer Einheit namens UNC5837, die als russisch-nahestehende Spionagegruppe eingestuft wird.

Im Anhang der Phishing-E-Mails befand sich eine RDP-Datei. Nutzer, die versuchten, diese zu öffnen, lösten unbeabsichtigt eine sogenannte „Rogue-RDP“-Sitzung aus.

Das Remote Desktop Protocol (RDP) wird üblicherweise für den Fernzugriff auf Workstations und Server genutzt. Allein seine Präsenz wird in vielen Organisationen jedoch nicht automatisch als Bedrohung wahrgenommen – ein gefährlicher Trugschluss.

RDP als Einfallstor bei der EU? Von einem Einzelfall kann keine Rede sein.

Dieser RDP-Angriff sollte als deutliches Warnsignal für alle Organisationen verstanden werden, die Remote Desktop Protocol weiterhin ohne ausreichende Schutzmaßnahmen nutzen. Wer auf Sicherheitsvorkehrungen verzichtet, riskiert ähnliche Konsequenzen wie die betroffenen EU-Behörden.

• Fakt: Schwache Passwörter im RDP-Zugriff erhöhen signifikant das Risiko erfolgreicher Brute-Force-Angriffe und damit schwerwiegender Sicherheitsverletzungen.

• Fakt: Die Nutzung von RDP mit Standard-Sicherheitseinstellungen begünstigt unautorisierte Proxy-Sitzungen – insbesondere auf Laufwerksfreigaben und Dateisysteme.

• Fakt: Ohne den Einsatz fortschrittlicher Monitoring-Tools oder MDR-Dienste bleiben frühe Anzeichen eines Rogue-RDP-Angriffs in der Regel unentdeckt.

Folgen der RDP-Angriffe in Europa

Die gezielte Attacke von UNC5837 auf europäische Regierungen und deren militärische Forschungs- und Entwicklungsprogramme macht die eigentliche Absicht der Gruppe deutlich. Besonders alarmierend ist ihre Fähigkeit, lokale Laufwerksressourcen aus der Ferne auf eigene Server umzuleiten – eine Technik, die eine simultane und weitgehend unentdeckte Datenexfiltration ermöglicht.

Dabei stehen nicht nur technische Informationen auf dem Spiel: NATO-Kriegspläne, Truppenbewegungen und selbst politische Differenzen im Zusammenhang mit dem Ukraine-Krieg könnten auf diese Weise kompromittiert werden.

Solche Angriffe wurden bereits mehrfach beobachtet – auch bei anderen europäischen Regierungen. Zum Einsatz kamen dabei bekannte RDP-Tools, darunter gezielte Port- und Crawler-Scans, mit denen sich Schwachstellen effektiv ausnutzen lassen.

Besonders brisant: Einige dieser Angriffe wurden direkt aus der europäischen Cloud-Infrastruktur von Microsoft heraus initiiert.

Die RDP-Waffe der UNC5837-Gruppe im Überblick

Der Missbrauch des Remote Desktop Protocol (RDP) als Angriffsvektor ist kein neues Phänomen. Sicherheitsteams weltweit kennen die Schwachstellen des Protokolls – ebenso wie die Risiken, die durch Phishing-Kampagnen entstehen.

Im vorliegenden Fall tarnte sich die Phishing-Mail als Mitteilung zu einem angeblichen Gemeinschaftsprojekt von Amazon, Microsoft und der Staatlichen Sicherheits- und Kommunikationsagentur der Ukraine. Der Anhang enthielt eine RDP-Datei, die angeblich projektbezogene Inhalte bereitstellen sollte. Besonders perfide: Die Absender warnten explizit davor, persönliche Daten einzugeben, und forderten die Empfänger auf, etwaige Fehlermeldungen zu ignorieren – mit dem Hinweis, das System würde automatisch eine Sicherheitsmeldung an die zuständige IT-Abteilung senden.

In der beigefügten RDP-Datei waren Konfigurationsbefehle eingebettet, die definieren, welche Funktionen während der Remote-Sitzung verfügbar sind. So erhielten Angreifer Zugriff auf Tastatur, Maus, Drucker, lokale Laufwerke – und nicht zuletzt auf die Zwischenablage des kompromittierten Windows-Systems.

PyRDP: Turning Known RDP Utilization into a Rogue Tool

PyRDP: Vom legitimen Tool zur Waffe im Schattennetz

PyRDP ist ein Proxy-Werkzeug, das gezielt dazu eingesetzt wurde, RDP in diesem Angriff zu automatisieren und gleichzeitig einer Erkennung zu entgehen. Dabei werden keine klassischen Schwachstellen ausgenutzt oder offengelegt – stattdessen erweitert PyRDP die Steuerungsmöglichkeiten zugunsten des unautorisierten Remote-Benutzers.

Im konkreten Fall nutzte der Angreifer PyRDP auf einem Man-in-the-Middle-(MiTM)-Server, um die Zugangsdaten der Nutzer abzugreifen.

Diese Art von Anmeldedaten-Diebstahl ermöglicht es, bestehende Laufwerkszuordnungen des Opfers gezielt auf einen manipulierten RDP-Server umzuleiten – ohne dass der Angriff direkt auffällt.heft tool extends the hacker’s ability to redirect the victim’s drive mappings to a rogue RDP server.

Warum diese Kill Chain globale CERT-Teams alarmiert

Moderne SecOps-Systeme sind darauf ausgelegt, auffällige Verhaltensmuster in Anwendungen, abweichende Nutzerinteraktionen sowie verdächtige Datenabflüsse an Remote-Server zu erkennen. Doch genau hier zeigt sich die Raffinesse des Angriffs von UNC5837: Die Angreifer nutzten die RemoteApp-Funktion gezielt als Ablenkung – getarnt als harmloser „AWS Secure Storage Connection Stability Test“.

Ein derartiges Verhalten kann während einer RDP-Sitzung leicht als unkritisch eingestuft und von Sicherheitsverantwortlichen übersehen werden.

RemoteApp ist eine optionale RDP-Funktion, bei der Programme zwar auf einem Remote-Server ausgeführt, jedoch als normale Fensteranwendungen auf dem Client-System dargestellt werden. Diese Technik erlaubt es Angreifern, bösartige Programme lokal erscheinen zu lassen, ohne dass diese tatsächlich auf dem Rechner des Opfers gespeichert oder ausgeführt werden müssen.

Eine Analyse ergab, dass die eingesetzte RemoteApp nicht lokal installiert oder aktiv war – ein gängiges Verfahren, das auch von legitimen Sicherheitsteams genutzt wird, um Anwendungen wie Outlook.exe, Word.exe oder Excel.exe auf entfernten RDP-Servern auszuführen.

Im vorliegenden Fall nutzte UNC5837 RemoteApp, um über eine verschlüsselte Verbindung gezielt Befehlszeilenanweisungen auf RDP-Servern der UNC58776-Infrastruktur auszuführen. Dadurch wurden fortschrittliche Endpoint-Schutzsysteme daran gehindert, den Start lokaler .exe-Dateien zu erkennen.

Der beunruhigendste Aspekt: Der Angriff basierte nicht auf einer ausgenutzten Schwachstelle, sondern auf der bewussten Erweiterung legitimer RDP-Funktionen. Das wirft eine zentrale Frage auf: Worauf genau sollen Sicherheitsteams künftig achten, um vergleichbare Angriffe rechtzeitig zu erkennen und zu verhindern?

Aktuelle und zukünftige Sicherheitsrisiken im Zusammenhang mit RDP

Wie bei vielen frühen Microsoft-Technologien lag der Fokus bei der Entwicklung des Remote Desktop Protocol (RDP) vor allem auf Benutzerfreundlichkeit und Funktionalität – weniger auf Sicherheit. RDP bietet leistungsstarke Features wie End-to-End-Verschlüsselung, die Remote-Ausführung von Programmen und die Unterstützung vollständig virtualisierter Desktop-Umgebungen.

Diese Anwendungsfälle bleiben für viele Unternehmen relevant – und damit auch das Risiko.

Die interne Einschränkung von RDP-ähnlichen Funktionen ist zwar ein sinnvoller erster Schritt. Doch mit dem zunehmenden Umstieg auf hybride Cloud-Infrastrukturen im Rahmen digitaler Transformationsstrategien entstehen neue Angriffspunkte. Insbesondere die Nutzung von RDP in Cloud-Instanzen kann dabei zur sicherheitskritischen Schwachstelle werden.

Das Unvermeidbare verhindern

Microsofts Remote Desktop Protocol (RDP) bietet verschiedene Sicherheitsfunktionen, darunter Netzwerkebene-Authentifizierung, Verschlüsselung und granulare Zugriffskontrollen. Die Authentifizierung auf Netzwerkebene verlangt eine Nutzerverifizierung noch vor Aufbau der eigentlichen Sitzung – ein wirksamer Schutzmechanismus. Verschlüsselung verhindert das Abhören sensibler Daten, und durch Zugriffskontrollen lassen sich Berechtigungen gezielt verwalten und der Zugriff auf kritische Ressourcen einschränken.

Trotz dieser Schutzmechanismen bleibt RDP ein lohnendes Angriffsziel. Brute-Force-Attacken zählen weiterhin zu den größten Risiken, insbesondere bei schwachen Passwörtern und fehlenden Sperrmechanismen nach fehlgeschlagenen Login-Versuchen. Ohne zusätzliche Schutzebenen ist RDP zudem anfällig für Man-in-the-Middle-Angriffe, Session-Hijacking oder das Auslesen von Netzwerkverkehr durch Sniffing.

Empfehlungen

Um Angriffe über RDP-Ressourcenumleitung wirksam zu unterbinden, reicht eine einzelne Schutzmaßnahme nicht aus. Der gezielte Einsatz mehrerer Angriffsvektoren innerhalb der Kill Chain von UNC5837 verdeutlicht, wie wichtig ein mehrschichtiger Sicherheitsansatz ist. Nur durch die Kombination verschiedener Verteidigungsmechanismen lässt sich ein wirksamer Schutz gegen komplexe Bedrohungen gewährleisten.

Erweiterte Protokollierung für Windows-Systemems

Protokolldaten lieferten SecOps-Ingenieuren entscheidende Hinweise zur schnellen Erkennung unautorisierter RDP-Sitzungen – etwa wenn RDP unerwartet auf einer oder mehreren Windows-Workstations aktiv wurde. Durch den Einsatz erweiterter Detection- und Response-Plattformen (XDR) sowie KI-gestützter MDR-Dienste lassen sich solche Aktivitäten noch schneller und präziser identifizieren.

Erweiterte E-Mail-Sicherheit zur Erkennung von RDP-Dateien

Unternehmen sollten auf fortschrittliche E-Mail-Sicherheitslösungen setzen, die künstliche Intelligenz nutzen, um Anhänge gezielt nach verdächtigen Dateitypen zu durchsuchen – insbesondere nach RDP-Konfigurationsdateien, die mit externen Adressen verknüpft sind.

Aktivierung von Windows-Sicherheitsrichtlinien

Der Angriff von UNC5837 basierte auf regulären RDP-Funktionen – gerade deshalb ist das Aktivieren restriktiver OS-Richtlinien essenziell. Dazu zählen das Blockieren von Remote-Umleitungen für Laufwerke, Tastatureingaben und Mausaktionen sowie das Sperren verdächtiger Registrierungseinträge.

Fazit und Empfehlungen

This attack highlights that even the best-intentioned IT tools, such as RDP, can be compromised and used maliciously. Enabling proactive monitoring, strong defensive layers, and awareness training keeps attacks like this from happeningDer vorliegende Angriff zeigt deutlich, dass selbst etablierte IT-Werkzeuge wie das Remote Desktop Protocol (RDP) gezielt kompromittiert und für kriminelle Zwecke missbraucht werden können. Nur durch proaktive Überwachung, mehrschichtige Sicherheitsarchitekturen und kontinuierliche Sensibilisierung der Mitarbeitenden lassen sich derartige Angriffe effektiv verhindern.

Unternehmen, die mit Fachkräftemangel im Bereich IT-Security zu kämpfen haben, sollten in Erwägung ziehen, einen MDR-Anbieter wie ForeNova zu beauftragen. Dessen KI-gestützte Überwachungs-, Protokollierungs- und automatisierte Response-Funktionen bieten eine wirkungsvolle Grundlage, um unautorisierte RDP-Sitzungen frühzeitig zu erkennen und den Diebstahl sensibler Daten und Zugangsdaten zu verhindern..