CISA adviseert organisaties om uitgaande RDP-verbindingen naar externe netwerken te blokkeren of sterk te beperken om cyberdreigingen te verminderen. Aanleiding hiervoor is een recente phishingaanval waarbij .rdp-bestanden worden gebruikt om ongeautoriseerde toegang te verkrijgen. CISA benadrukt het belang van maatregelen zoals het blokkeren van RDP-bestanden in e-mailclients, het beperken van de mogelijkheid voor gebruikers om deze bestanden te openen, en het controleren op ongeautoriseerde RDP-verbindingen van het afgelopen jaar. Daarnaast raadt CISA aan om gebruikers op te leiden in het herkennen en melden van verdachte e-mails om social engineering-risico’s te verkleinen.
Immediate actions
Proactieve monitoring:
Voer gedurende een bepaalde periode verhoogde monitoring uit op verdachte e-mails, RDP-bestanden en potentiële phishing-activiteit in overeenstemming met de IoCs die aan deze campagne zijn gekoppeld.
Long-term recommendations
Blokkeer RDP-bestanden op de mailserver:
Configureer de mailserver om RDP-bestanden (‘.rdp’-extensies) automatisch te blokkeren of te markeren als verdacht. Dit voorkomt dat gebruikers per ongeluk malafide RDP-bestanden openen die via phishing-e-mails zijn verspreid. Door deze bijlagen te blokkeren op serverniveau, reduceert de organisatie het risico op besmetting via e-mail aanzienlijk.
Blokkeer het uitvoeren van RDP-bestanden voor gebruikers:
Beperk gebruikersrechten op endpoints zodat ze geen RDP-bestanden kunnen uitvoeren. Dit kan worden ingesteld via Group Policies en endpoint-beveiliging. Door RDP-uitvoering te beperken, wordt het voor aanvallers lastiger om RDP-sessies op te zetten die toegang geven tot bedrijfsnetwerken of externe servers.
Blokkeer uitgaand RDP-verkeer op de firewall:
Configureer de firewall om uitgaand RDP-verkeer naar externe netwerken te blokkeren, behalve naar geautoriseerde interne servers. Deze maatregel voorkomt dat malafide RDP-verbindingen worden opgezet met servers die door aanvallers worden beheerd, en beschermt tegen exfiltratie en ongewenste toegang tot gevoelige systemen.
Blokkeer het delen van bronnen bij RDP-verbindingen in Group Policies:
Pas Group Policies aan om te voorkomen dat gebruikers tijdens RDP-sessies bestanden, klembordinhoud, of andere bronnen delen. Deze beperking voorkomt dat aanvallers misbruik maken van gedeelde resources tijdens een RDP-sessie om malafide bestanden op systemen te plaatsen of gevoelige data te stelen.
File Hashes:
• a246253fab152deac89b895a7c1bca76498b4aa044c907559c15109c1187a448 – Zero Trust Architecture Configuration.rdp
• 8b45f5a173e8e18b0d5c544f9221d7a1759847c28e62a25210ad8265f07e96d5 – Zero Trust Security Environment Compliance Check.rdp
• 280fbf353fdffefc5a0af40c706377142fff718c7b87bc8b0daab10849f388d0 – AWS IAM Configuration.rdp
• 1c1941b40718bf31ce190588beef9d941e217e6f64bd871f7aee921099a9d881 – AWS IAM Compliance Check.rdp
• ba4d58f2c5903776fe47c92a0ec3297cc7b9c8fa16b3bf5f40b46242e7092b46 – Zero Trust Security Environment Compliance Check.rdp
• f357d26265a59e9c356be5a8ddb8d6533d1de222aae969c2ad4dc9c40863bfe8 – AWS IAM Compliance Check.rdp