Microsoft предупреждает о новой хакерской кампании, организованной Россией

Александр Гайдамашко

Источник:

Microsoft

Microsoft / Unsplash

Корпорация Microsoft опубликовала предупреждение о продолжающейся фишинговой кампании, которую реализует известная хакерская группировка Midnight Blizzard. Этих преступников ранее связали с российской разведкой и многочисленными атаками на объекты по всему миру, в том числе и на саму Microsoft в январе и марте 2024 года.

Детали

Компания утверждает, что обнаружила рассылку "узконаправленных фишинговых электронных писем" по меньшей мере с 22 октября. По ее мнению, целью этой операции является сбор разведывательной информации, говорится в отчете на сайте Microsoft.

Группа Midnight Blizzard направляет электронные письма лицам, связанным с различными секторами и отраслями деятельности. В целом она известна тем, что нацелена как на правительственные, так и на неправительственные организации, поставщиков IT-услуг, научные круги и оборонный сектор. Эта кампания в основном сосредоточена на организациях в США и Европе, но также задела частных лиц в Австралии и Японии.

Midnight Blizzard уже разослала тысячи фишинговых писем более чем 100 организациям в рамках этой кампании, сообщает Microsoft, объясняя, что эти письма содержат подписанный протокол удаленного рабочего стола (RDP), подключенный к серверу, который контролирует группировка. Группа использовала адреса электронной почты, принадлежащие реальным организациям, похищенные во время ее предыдущей деятельности, заставляя жертв думать, что они открывают легальные электронные письма. Она также использовала методы социальной инженерии, чтобы создать впечатление, будто письма были отправлены сотрудниками Microsoft или Amazon Web Services.

Если кто-то нажимает и открывает RDP-вложение, устанавливается соединение с сервером, который контролирует Midnight Blizzard.
После этого злоумышленник получает доступ к файлам жертвы, любым сетевым дискам или периферийным устройствам (например, микрофонам и принтерам), подключенным к ее компьютеру, а также к ее паролям, ключам безопасности и другой информации об аутентификации.
Он также может незаметно установить дополнительное вредоносное программное обеспечение на компьютер и сеть жертвы, в том числе троянские вирусы для удаленного доступа, которые он может использовать для того, чтобы оставаться в системе жертвы даже после того, как первичное соединение будет разорвано.

Что известно о Midnight Blizzard

Группа известна под многими другими именами, такими как Cozy Bear и APT29, но вы, возможно, помните ее как субъекта, стоящего за атаками SolarWinds 2020 года, в ходе которых ей удалось проникнуть в сотни организаций по всему миру.

В начале этого года Midnight Blizzard также взломали электронную почту нескольких высших руководителей Microsoft и других сотрудников, получив доступ к коммуникации между компанией и ее клиентами.

Microsoft не сообщила, связана ли эта кампания с президентскими выборами в США, но советует потенциальным жертвам быть более внимательными в защите своих систем.