Midnight Blizzard spear-phishing kampány RDP fájlokkal
2024. október 22. óta a Microsoft Threat Intelligence megfigyelte, hogy a Midnight Blizzard (más néven APT29, UNC2452, Cozy Bear) orosz kiberszereplő egy sor rendkívül célzott spear-phishing e-mailt küldött kormányzati, tudományos, védelmi, nem kormányzati és egyéb szektorokban dolgozó magánszemélyeknek. A korábbi Midnight Blizzard spear-phishing kampányok vizsgálata alapján a Microsoft úgy értékeli, hogy ennek a műveletnek a célja valószínűleg hírszerzés. A Microsoft blogbejegyzése kontextust nyújt ezekkel a spear-phishing kísérletekkel kapcsolatban, amelyek általános támadási technikák, és nem jelentenek új veszélyeztetést a Microsoft számára. A kampányban szereplő spear-phishing e-maileket több mint 100 szervezet több ezer célpontjának küldték el, és egy aláírt Remote Desktop Protocol (RDP) konfigurációs fájlt tartalmaztak, amely egy kiberszereplő által ellenőrzött szerverhez csatlakozott. A csali némelyikében a szereplő a Microsoft munkatársainak megszemélyesítésével próbálta hitelesebbé tenni a rosszindulatú üzeneteket. A fenyegető szereplő más felhőszolgáltatókra is hivatkozott az adathalász-csalikban.
Bár a Midnight Blizzard kampánya a szokásos célpontokra összpontosít, az aláírt RDP konfigurációs fájl használata a célpontok eszközeihez való hozzáférés megszerzéséhez újszerű hozzáférési vektort jelent a szereplő számára. A tevékenységet az UAC-0215 jelzéssel az ukrán CERT-UA és az Amazon is jelentette. A Midnight Blizzard egy orosz fenyegető szereplő, amelyet az Egyesült Államok és az Egyesült Királyság kormánya az Oroszországi Föderáció Külső Hírszerző Szolgálatának, más néven SZVR-nek tulajdonít. Ez a kiberszereplő elsősorban kormányokat, diplomáciai szervezeteket, nem kormányzati szervezeteket (NGO) és informatikai szolgáltatókat vesz célba, elsősorban az Egyesült Államokban és Európában. Fókuszában a külföldi érdekeltségek elleni hosszú távú és elkötelezett kémkedés révén történő hírszerzés áll, amely 2018 elejéig nyomon követhető. Műveleteik közé tartoznak az érvényes fiókok kompromittálása, és néhány nagyon célzott esetben fejlett technikákat alkalmaznak a szervezeten belüli hitelesítési mechanizmusok kompromittálására a hozzáférés kiterjesztése és a felderítés elkerülése érdekében.
A Microsoft megosztotta az IOC-kat is.
