Microsoft выпустила предупреждение о продолжающейся кампании целевого фишинга со стороны группы под названием Midnight Blizzard, которую власти США и Великобритании ранее связывали с российским разведывательным агентством. Компания заявила, что обнаружила, что злоумышленник рассылает «узконаправленные целевые фишинговые письма» по крайней мере с 22 октября, и что, по ее мнению, цель операции — сбор разведданных. Согласно ее наблюдениям, группа рассылала электронные письма лицам, связанным с различными секторами, но известно, что она нацелена как на государственные, так и на неправительственные организации, поставщиков ИТ-услуг, академические круги и оборону. Кроме того, хотя она в основном фокусируется на организациях в США и Европе, эта кампания также была нацелена на лиц в Австралии и Японии.
Midnight Blizzard уже разослала тысячи фишинговых писем более чем 100 организациям в рамках этой кампании, заявила Microsoft, объяснив, что эти письма содержат подписанный протокол удаленного рабочего стола (RDP), подключенный к серверу, контролируемому злоумышленником. Группа использовала адреса электронной почты, принадлежащие реальным организациям, украденные во время ее предыдущих действий, заставляя цели думать, что они открывают законные письма. Она также использовала методы социальной инженерии, чтобы создать видимость того, что письма были отправлены сотрудниками Microsoft или Amazon Web Services.
Если кто-то щелкает и открывает вложение RDP, устанавливается соединение с сервером, которым управляет Midnight Blizzard. Затем злоумышленник получает доступ к файлам цели, любым сетевым дискам или периферийным устройствам (таким как микрофоны и принтеры), подключенным к ее компьютеру, а также к ее паролям, ключам безопасности и другой информации веб-аутентификации. Он также может установить вредоносное ПО на компьютер и сеть цели, включая трояны удаленного доступа, которые он может использовать, чтобы оставаться в системе жертвы даже после того, как первоначальное соединение было прервано.
Группа известна под многими другими именами, такими как Cozy Bear и APT29, но вы, возможно, помните ее как злоумышленника, стоящего за атаками SolarWinds в 2020 году , в ходе которых ей удалось проникнуть в сотни организаций по всему миру. Ранее в этом году она также взломала электронную почту нескольких старших руководителей Microsoft и других сотрудников, получив доступ к общению между компанией и ее клиентами. Microsoft не сообщила, связана ли эта кампания с президентскими выборами в США, но рекомендует потенциальным целям проявлять большую активность в защите своих систем.