Microsoft попереджає про нову хакерську кампанію, організовану Росією

Олександр Гайдамашко

Джерело:

Microsoft

Основні тези

Microsoft попередила про нову фішингову кампанію з боку хакерського угруповання Midnight Blizzard, пов'язаного з російською розвідкою
Наразі вона атакує організації в США, Європі, Австралії та Японії.
Кампанія використовує фішингові електронні листи з RDP-вкладеннями, які, якщо їх відкрити, надають доступ до комп'ютера зловмисникам.
Метою кампанії є збір розвідувальної інформації.

Microsoft попереджає про фішингову загрозу з боку хакерів Midnight Blizzard

Microsoft / Unsplash

Корпорація Microsoft опублікувала попередження про триваючу фішингову кампанію, котру реалізує відоме хакерське угруповання Midnight Blizzard. Цих злочинців раніше пов'язали з російською розвідкою та численними атаками на об'єкти по всьому світу, в тому числі й на саму Microsoft у січні та березні 2024 року.

Деталі

Компанія стверджує, що виявила розсилку "вузькоспрямованих фішингових електронних листів" щонайменше з 22 жовтня. На її думку, метою цієї операції є збір розвідувальної інформації, йдеться в звіті на сайті Microsoft.

Дивіться також Microsoft знешкодила частину інфраструктури російських державних хакерів

Група Midnight Blizzard надсилає електронні листи особам, пов'язаним з різними секторами та галузями діяльності. Загалом вона відома тим, що націлена як на урядові, так і на неурядові організації, постачальників ІТ-послуг, наукові кола та оборонний сектор. Ця кампанія здебільшого зосереджена на організаціях у США та Європі, але також зачепила приватних осіб в Австралії та Японії.

Midnight Blizzard вже розіслала тисячі фішингових листів більш ніж 100 організаціям в рамках цієї кампанії, повідомляє Microsoft, пояснюючи, що ці листи містять підписаний протокол віддаленого робочого столу (RDP), підключений до сервера, який контролює угруповання. Група використовувала адреси електронної пошти, що належать реальним організаціям, викрадені під час її попередньої діяльності, змушуючи жертв думати, що вони відкривають легальні електронні листи. Вона також використовувала методи соціальної інженерії, щоб створити враження, ніби листи були надіслані співробітниками Microsoft або Amazon Web Services.

Якщо хтось натискає і відкриває RDP-вкладення, встановлюється з'єднання з сервером, який контролює Midnight Blizzard.
Після цього зловмисник отримує доступ до файлів жертви, будь-яких мережевих дисків або периферійних пристроїв (наприклад, мікрофонів і принтерів), підключених до її комп'ютера, а також до її паролів, ключів безпеки та іншої інформації про автентифікацію.
Він також може непомітно встановити додаткове шкідливе програмне забезпечення на комп'ютер і мережу жертви, в тому числі троянські віруси для віддаленого доступу, які він може використовувати для того, щоб залишатися в системі жертви навіть після того, як первинне з'єднання буде розірвано.

Що відомо про Midnight Blizzard

Група відома під багатьма іншими іменами, такими як Cozy Bear і APT29, але ви, можливо, пам'ятаєте її як суб'єкта, що стоїть за атаками SolarWinds 2020 року, в ході яких їй вдалося проникнути в сотні організацій по всьому світу.

На початку цього року Midnight Blizzard також зламали електронну пошту кількох вищих керівників Microsoft та інших співробітників, отримавши доступ до комунікації між компанією та її клієнтами.

Microsoft не повідомила, чи пов'язана ця кампанія з президентськими виборами в США, але радить потенційним жертвам бути більш уважними у захисті своїх систем.