Microsoft je izdao upozorenje o tekućoj phishing kampanji od strane malicioznih aktera, pod nazivom imenu Midnight Blizzard, koje su vlasti SAD i Velike Britanije ranije povezivale sa ruskom obaveštajnom agencijom.

Kompanija je saopštila da je otkrila da su napadači od 22. oktobra slali “spear-phishing” mejlove i da veruje da je cilj operacije prikupljanje obaveštajnih podataka.

shutterstock-phishing.jpg
Shutterstock 

Na osnovu svojih zapažanja, grupa je slala e-poruke pojedincima povezanim sa različitim sektorima, a poznata je po tome što cilja vladine i nevladine organizacije, pružaoce IT usluga, akademsku zajednicu i odbranu. Pored toga, iako se uglavnom fokusira na organizacije u SAD i Evropi, ova kampanja je takođe ciljala na pojedince u Australiji i Japanu.

Midnight Blizzard je već poslao hiljade imejlova za krađu identiteta u preko 100 organizacija tokom ove kampanje, kažu iz Microsofta, objašnjavajući da ti mejlovi sadrže potpisani Remote Desktop Protocol (RDP) povezan sa serverom koji napadač kontroliše.

shutterstock-phishing--3.jpg
Shutterstock 

Grupa je koristila adrese e-pošte koje pripadaju stvarnim organizacijama, a ukradene su tokom njenih prethodnih aktivnosti, što je navelo mete da pomisle da otvaraju legitimne imejlove. Takođe su koristili tehnike društvenog inženjeringa kako bi izgledalo kao da su mejlove poslali zaposleni iz Microsofta ili Amazon Web Services.

Ako neko klikne i otvori RDP prilog, uspostavlja se veza sa serverom koji Midnight Blizzard kontroliše. Zatim napadaču daje pristup datotekama mete, svim mrežnim diskovima ili perifernim uređajima (kao što su mikrofoni i štampači) povezanim sa njihovim računarom, kao i njihovim pristupnim ključevima, bezbednosnim ključevima i drugim informacijama o veb autentifikaciji.

shutterstock-phishing--2.jpg
Shutterstock 

Takođe on bi mogao da instalira malver u računar i mrežu mete, uključujući trojance sa daljinskim pristupom koje bi mogao da koristi da ostane u sistemu žrtve čak i nakon što je prvobitna veza prekinuta.

Grupa je poznata pod mnogim drugim imenima, kao što su Cozy Bear i APT29, ali je se mnogi sećaju kao pretnje koji stoji iza 2020 SolarWinds napada, u kojima je uspela da se infiltrira u stotine organizacija širom sveta. Takođe je provalila u mejlove nekoliko viših rukovodilaca Microsofta i drugih zaposlenih ranije ove godine, pristupajući komunikaciji između kompanije i njenih klijenata.

shutterstock-680078878.jpg
Shutterstock 

Microsoft nije rekao da li ova kampanja ima veze sa predsedničkim izborima u SAD, ali savetuje potencijalne mete da budu proaktivnije u zaštiti svojih sistema.

Izvor: B92/Kurir/Darko Mulic