Midnight Blizzard znowu atakuje. Microsoft ostrzega przed phishingiem

Kilka tygodni temu, Microsoft opublikował Digital Defense Report 2024. Jak opisywaliśmy na naszych łamach, w dokumencie jako największe zagrożenie dla sieci IT wskazano aktora zagrożeń Midnight Blizzard, który ma być powiązany z rosyjskim wywiadem. Panującą sytuację gigant z Redmond nazwał wprost wojną hybrydową – nietrudno się domyślić, dlaczego.

Rosyjski aktor zagrożeń znów działa

Teraz temat tego rosyjskiej grupy powraca. Microsoft poinformował w środę 30 października, że cyberprzestępcy prowadzą kampanię spear-phishingową obejmującą wiele krajów na świecie. Główne cele znajdują się jednak w Europie, na Wyspach Brytyjskich, w Japonii oraz Australii.

Atak został zidentyfikowany przez ekspertów cyberbezpieczeństwa na 8 dni przed publikacją informacji przez giganta. W ramach kampanii, Midnight Blizzard wysłał wiadomości e-mail do kilku tysięcy użytkowników zrzeszonych łącznie w 100 organizacjach. 

Wszystkie wiadomości zawierały plik konfiguracyjny Remote Desktop Protocol (.rdp). Istotny jest jednak fakt, że w tym przypadku był on podpisany certyfikatem LetsEncrypt, rzekomo powiązanym z Amazon Web Services (AWS). W rzeczywistości, po jego uruchomieniu konfigurowane było połączenie z serwerem grupy, która otrzymywała pełną kontrolę nad przejętym systemem.

Wykradanie danych tylko jedną z metod działalności

Dzięki uruchomieniu pliku .rdp, Midnight Blizzard otrzymywał informacje dotyczące zainfekowanego komputera. Obejmowały one m.in. podłączone dyski i urządzenia peryferyjne, loginy i hasła, foldery i pliki, a także dane znajdujące się w schowku.

Taki sposób działania nie powinien w ogóle dziwić. Midnight Blizzard ma prosty cel – zbieranie informacji za pomocą długotrwałych działań wywiadowczych. Oprócz spear-phishingu, aktor ten korzysta również z takich metod jak wykradzione dane logowania czy ataki na łańcuchy dostaw.

W celu obrony przed trwającym atakiem, Microsoft zaleca używanie zapory Windows w celu ograniczenia połączeń typu RDP. Zalecane jest również włączenie skanowania pobranych plików przez antywirusa, a także wdrożenie wieloetapowej weryfikacji - przy czym odradzane jest ustawianie telefonu jako metody ze względu na SIM-jacking.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].