Cyberbezpieczeństwo
Midnight Blizzard znowu atakuje. Microsoft ostrzega przed phishingiem
Rosyjski aktor Midnight Blizzard prowadzi kampanię spear-phishingową wymierzoną w szerokie grono użytkowników – poinformował Microsoft. Zagrożeni są zarówno pracownicy sektora rządowego, uczelnie, firmy zbrojeniowe czy organizacje pozarządowe. To kolejna informacja dotycząca tej grupy hakerów w ostatnim czasie.
Kilka tygodni temu, Microsoft opublikował Digital Defense Report 2024. Jak opisywaliśmy na naszych łamach, w dokumencie jako największe zagrożenie dla sieci IT wskazano aktora zagrożeń Midnight Blizzard, który ma być powiązany z rosyjskim wywiadem. Panującą sytuację gigant z Redmond nazwał wprost wojną hybrydową – nietrudno się domyślić, dlaczego.
Czytaj też
Rosyjski aktor zagrożeń znów działa
Teraz temat tego rosyjskiej grupy powraca. Microsoft poinformował w środę 30 października, że cyberprzestępcy prowadzą kampanię spear-phishingową obejmującą wiele krajów na świecie. Główne cele znajdują się jednak w Europie, na Wyspach Brytyjskich, w Japonii oraz Australii.
Atak został zidentyfikowany przez ekspertów cyberbezpieczeństwa na 8 dni przed publikacją informacji przez giganta. W ramach kampanii, Midnight Blizzard wysłał wiadomości e-mail do kilku tysięcy użytkowników zrzeszonych łącznie w 100 organizacjach.
Wszystkie wiadomości zawierały plik konfiguracyjny Remote Desktop Protocol (.rdp). Istotny jest jednak fakt, że w tym przypadku był on podpisany certyfikatem LetsEncrypt, rzekomo powiązanym z Amazon Web Services (AWS). W rzeczywistości, po jego uruchomieniu konfigurowane było połączenie z serwerem grupy, która otrzymywała pełną kontrolę nad przejętym systemem.
Czytaj też
Wykradanie danych tylko jedną z metod działalności
Dzięki uruchomieniu pliku .rdp, Midnight Blizzard otrzymywał informacje dotyczące zainfekowanego komputera. Obejmowały one m.in. podłączone dyski i urządzenia peryferyjne, loginy i hasła, foldery i pliki, a także dane znajdujące się w schowku.
Taki sposób działania nie powinien w ogóle dziwić. Midnight Blizzard ma prosty cel – zbieranie informacji za pomocą długotrwałych działań wywiadowczych. Oprócz spear-phishingu, aktor ten korzysta również z takich metod jak wykradzione dane logowania czy ataki na łańcuchy dostaw.
W celu obrony przed trwającym atakiem, Microsoft zaleca używanie zapory Windows w celu ograniczenia połączeń typu RDP. Zalecane jest również włączenie skanowania pobranych plików przez antywirusa, a także wdrożenie wieloetapowej weryfikacji - przy czym odradzane jest ustawianie telefonu jako metody ze względu na SIM-jacking.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].