Компанія Microsoft заявила, що Служба зовнішньої розвідки Росії (СЗР) протягом останнього тижня націлилася на державних службовців за допомогою інструменту, який надає хакерам повний доступ до пристрою жертви.
У блозі від 29 жовтня команда Microsoft з розвідки загроз повідомила, що з 22 жовтня російський суб’єкт, якого вона відстежує як Midnight Blizzard, розсилає «вузькоспрямовані фішингові електронні листи особам, які працюють в уряді, академічних колах, оборонному секторі, неурядових організаціях та інших секторах».
Кампанія триває, і Microsoft відстежила електронні листи, «надіслані тисячам адресатів у понад 100 організаціях». Електронні листи містили конфігураційні файли для протоколу віддаленого робочого столу (RDP), які підключені до серверів, контрольованих хакерами.
Вкладення RDP «містили кілька чутливих налаштувань, які могли призвести до значного витоку інформації».
«Як тільки цільова система була скомпрометована, вона підключалася до сервера, контрольованого зловмисниками, і двонаправлено відображала ресурси локального пристрою користувача на сервер», – заявили в Microsoft, додавши, що на сервер міг бути відправлений широкий спектр ресурсів, включаючи принтери і вміст буфера обміну.
Відкриття RDP-вкладення може вплинути навіть на ключі безпеки та пристрої торгових точок. Отриманий доступ дозволив би хакерам встановити шкідливе програмне забезпечення, скласти карту мережі жертви, встановити інші інструменти та отримати доступ до облікових даних.
Microsoft заявила, що зловмисники націлені на людей у десятках країн, включаючи Велику Британію, Європу, Австралію та Японію. Хакери надсилали фішингові електронні листи на адреси, «зібрані під час попередніх зломів».
У деяких листах хакери намагалися змусити жертв відкрити їх, видаючи себе за співробітників Microsoft, а в інших використовували приманки соціальної інженерії, пов’язані з Microsoft, Amazon Web Services (AWS) і концепцією нульової довіри.
Кампанія була особливо примітною, оскільки використання конфігураційних файлів RDP було новим досягненням у тактиці Midnight Blizzard. Microsoft зазначила, що подібну активність спостерігали і Amazon, і Державна команда реагування на комп’ютерні надзвичайні ситуації в Україні.
Минулого тижня Amazon опублікував звіт про безпеку, в якому попередив, що Служба зовнішньої розвідки Росії націлилася на урядові установи, компанії та військових за допомогою фішингової кампанії, спрямованої на «викрадення облікових даних у російських супротивників».
Хакери, яких Amazon називає APT29, надсилали україномовні фішингові електронні листи «значно більшій кількості адресатів, ніж їхній типовий вузькоспрямований підхід».
«Деякі з доменних імен, які вони використовували, намагалися обдурити жертв, щоб змусити їх повірити, що це домени AWS (але це не так), але Amazon не була їхньою метою, як і група, що полює за обліковими даними клієнтів AWS, – сказав директор з інформаційної безпеки Amazon Сі Джей Мозес.
«Скоріше, APT29 шукав облікові дані Windows своїх жертв через Microsoft Remote Desktop. Дізнавшись про цю активність, ми негайно ініціювали процес вилучення доменів, якими зловживав APT29, що видавав себе за AWS, щоб перервати операцію».
Раніше хакери SVR вже стояли за глибоким зламом систем Microsoft в листопаді минулого року, який дав їм доступ до корпоративного поштового середовища компанії, а також розкрив електронні листи від декількох федеральних агентств США, які могли містити дані для автентифікації або облікові дані .
Окрім нещодавніх атак на компанії-розробники програмного забезпечення, такі як TeamViewer, SVR стоїть за деякими з найбільш масштабних кібератак в історії США, включаючи злам SolarWinds у 2020 році та атаку на Національний комітет Демократичної партії у 2016 році.
Російські хакери «Опівнічна хуртовина» націлилися на державних службовців у новій кампанії з викрадення інформації
