Vectra AI 即時成功阻斷 APT29（Midnight Blizzard）大規模惡意RDP攻擊 發布全球首份「惡意 RDP 檔案」攻擊行動技術拆解報告

AI 驅動混合式與多雲威脅偵測與回應（NDR & HDR）領導廠商 Vectra AI，今日發布全球首份針對俄羅斯背景APT 組織 APT29（別名 Midnight Blizzard、Cozy Bear）最新「惡意 RDP 檔案」攻擊行動的完整技術拆解報告，並同步上線 20 分鐘深度解析影片。

Vectra AI威脅研究團隊發現，APT29於2025年10月起發動一波超過100個組織受害的魚叉式網路釣魚行動，目標涵蓋北美、歐洲與亞太地區的政府、軍事、國防工業與學術單位。攻擊者以「Microsoft 與 AWS 官方 Zero Trust 政策更新」為誘餌，誘導受害者開啟經過數位簽章的惡意 .rdp 檔案，進而達成完全無聲的遠端桌面劫持。

Vectra AI 全球副總裁兼首席安全顧問 Chris Morales 表示：「這不是一起普通的釣魚攻擊，而是 APT29 將『簡單卻致命』推到極致的教科書級案例。一個經過簽章的 .rdp 檔案，就能讓攻擊者瞬間取得受害者整台電腦的完整控制權。Vectra AI平台已在多位客戶環境中於攻擊初期即偵測並阻斷此波行動，我們決定將完整技術細節公開，協助全球組織立即採取防禦措施。」

此攻擊事件的重要發現如下：

- 使用 Let’s Encrypt 合法憑證對惡意 RDP 檔案進行簽章，繞過郵件閘道與防毒軟體。

- 濫用 RDP 資源重導向（drive redirection、clipboard redirection）將受害者檔案系統完整映射至攻擊者伺服器。

- 部署開源工具 PyRDP 執行中間人攻擊，無需密碼即可竊取憑證、監控剪貼簿、爬取檔案。

- 全球部署193個跳板與34個惡意RDP後端，展現國家級資源調度能力。

- 入侵後使用連結檔案、啟動資料夾、DLL 側載、AppDomain 注入四種方式達成持久化。

Vectra AI即時防禦建議

1. 郵件閘道全面封鎖 .rdp 附件或強制沙箱隔離

2. 群組原則（GPO）停用 RDP 檔案執行與資源重導向功能

3. 防火牆封鎖對公網 IP 的 3389 埠連線

4. 強制所有 RDP 連線啟用 Network Level Authentication（NLA）與 MFA

5. 部署 Vectra Attack Signal Intelligence™️ 偵測異常 RDP 連線行為與 JA3/JA4 指紋漂移

本次完整技術拆解影片已於 Vectra AI 官方 YouTube 頻道上線（連結：https://www.youtube.com/watch?v=pNUnNe8pCFo），並同步提供 KQL 查詢語法、PyRDP 行為特徵與 IOC 清單，供全球資安社群免費下載。

關於 Vectra AI 公司

Vectra AI 公司是一家網路安全人工智慧公司，致力於保護現代網路免受現代攻擊。Vectra AI 平台提供人工智慧驅動的網路偵測與回應 (NDR) 功能，能夠發現並阻止資料中心、園區、遠端辦公、身分管理、雲端和 OT 環境中的威脅。在首份 Gartner® 網路偵測與回應魔力象限報告中，Vectra AI 被評為領導者，並在執行能力和願景完整性方面均名列第一。憑藉 35 項人工智慧安全專利以及在 MITRE D3FEND 中最多的廠商推薦，全球眾多組織機構都依賴 Vectra AI 來發現並阻止其他工具無法識別的攻擊。欲了解更多訊息，請訪問 www.vectra.ai 或台灣聯絡窗口Slin@vectra.ai。

關於力麗科技

擁有「領導力」與「執行力」的資安網路專業代理商-力麗科技經銷服務事業部，以洞悉市場專業眼光代理最具潛力的優質領導品牌，以增加國內產業競爭力，打造出與眾不同的致勝關鍵。領先的技術結合產品整合方案，更是力麗科技所堅持的原則，為客戶提供「一站式最需要」的整合性解決方案，打造出企業的致勝關鍵並與國際資訊安全潮流接軌。力麗科技落實提供各地區經銷夥伴所需之服務，掌握市場脈動，分別於台灣北中南(台北/新竹/台中/高雄/台南)設立五個經銷據點，為經銷夥伴提供「最快速」、「最在地」的專業服務支援。欲了解更多訊息，請訪問www.llt.com.tw。 Vectra AI產品相關資訊請洽產品經理 廖恒毅02-21002458 #8633/ caden@llt.com.tw。