Служба розвідки загроз Microsoft випустила попередження після виявлення складної кампанії списоподібного фішингу, організованої російським зловмисником, відомим під псевдонімом Midnight Blizzard.
Активна з 22 жовтня цього року, ця операція розповсюджувала фішингові електронні листи, спрямовані на урядові установи, наукові кола, оборонні організації, неурядові організації та інші критичні сектори в усьому світі.
«На основі нашого розслідування попередніх фішингових кампаній Midnight Blizzard ми вважаємо, що метою цієї операції є збір розвідувальних даних», – заявили в Microsoft. Компанія додала, що блог, який вона опублікувала, має на меті надати контекст цих зовнішніх спроб фішингу, які є стандартними методами атак і не представляють собою жодної нової компрометації Microsoft.
Остання кампанія Midnight Blizzard використовує інноваційну тактику: використання підписаних файлів конфігурації протоколу віддаленого робочого столу (RDP) для підключення систем жертв до сервера, контрольованого зловмисником.
Ці шкідливі RDP-файли вбудовуються в електронні листи, які виглядають достовірними, оскільки видають себе за співробітників Microsoft і посилаються на авторитетних хмарних провайдерів. Після відкриття RDP-файли встановлюють з’єднання, які дозволяють зловмисникам збирати конфіденційну інформацію та потенційно встановлювати шкідливе програмне забезпечення на цільові пристрої.
За даними Microsoft, Midnight Blizzard є послідовним і наполегливим у своєму оперативному націлюванні, а його цілі рідко змінюються. Вона використовує широкий спектр методів початкового доступу, включаючи фішинг, викрадення облікових даних, атаки на ланцюжки поставок, компрометацію локальних середовищ для подальшого переходу в хмару, а також використання ланцюжка довіри постачальників послуг для доступу до клієнтів, що знаходяться нижче за течією.
«Відомо, що Midnight Blizzard використовує шкідливе програмне забезпечення Active Directory Federation Service (AD FS), відоме як FOGGYWEB та MAGICWEB. Виробники програмного забезпечення ідентифікують Midnight Blizzard як APT29, UNC2452 та Cozy Bear», – додали в компанії.
Превентивні заходи
Балаж Грекша, керівник відділу реагування на загрози в Ontinue, прокоментував особливість загрози, зазначивши, що «Тема стосується конфігурацій Security/Device/AWS/Zero Trust, однак це може відносно швидко змінитися». Грекша порекомендував блокувати розширення файлів «.rdp» в поштових шлюзах і обмежити виконання таких файлів, щоб зменшити ризик атаки. Він також порадив, щоб мережеві брандмауери відключали вхідні та вихідні RDP-з’єднання в якості превентивного заходу.
Кампанія Midnight Blizzard в першу чергу націлена на організації у Великобританії, Європі, Австралії та Японії, що відображає історичну спрямованість групи на дипломатичні та урядові установи в цих регіонах. Корпорація Майкрософт безпосередньо повідомила постраждалих користувачів і надала рекомендації щодо зменшення подальшого впливу вірусу.
Використання суспільного інтересу
За словами Стівена Ковскі, технічного директора SlashNext, час проведення атаки – напередодні первинних виборів – свідчить про намір використати вразливості критичної інфраструктури та суспільний інтерес. «Ці атаки, ймовірно, посилюватимуться з наближенням дня виборів», – зазначив пан Ковскі. Він підкреслив, що організації потребують вдосконаленого захисту від фішингу, щоб виявляти і блокувати ці фішингові повідомлення в режимі реального часу, наголосивши на важливості виявлення за допомогою штучного інтелекту для протидії складним загрозам електронної пошти і запобігання несанкціонованому доступу.
Інноваційне використання підписаних RDP-файлів у кампанії Midnight Blizzard викликало занепокоєння через те, що скомпрометовані системи можуть зіставити низку локальних ресурсів, таких як файли, мережеві диски та засоби автентифікації, з сервером, контрольованим зловмисником. Як пояснюють у Microsoft, такий доступ дозволить зловмиснику безперешкодно розгортати шкідливе програмне забезпечення в різних системах, забезпечуючи постійний доступ.
Необхідний суворий контроль
Технічний директор ColorTokens Венкі Раджу (Venky Raju) також вказав на критичну необхідність суворого контролю над функцією RDP в Microsoft і сказав, що порада Microsoft щодо використання брандмауера хоста для обмеження вихідного RDP-доступу є слушною і до неї необхідно терміново прислухатися. Раджу підкреслив, що політики об’єктів групової політики (Group Policy Objects, GPO) або мікросегментація можуть допомогти обмежити функціональність RDP до необхідних завдань.
«Ця атака ще раз підкреслює, що фішинг залишається найнебезпечнішою загрозою для вашої організації», – сказав Патрік Харр, генеральний директор SlashNext, підтверджуючи постійні ризики, які створює фішинг. Харр виступає за вдосконалений захист за допомогою штучного інтелекту та навчання користувачів і радить організаціям використовувати «пісочниці» для виявлення шкідливих посилань і файлів безпосередньо в електронній пошті, програмах для спільної роботи та обміну повідомленнями».
Рекомендації Microsoft щодо протидії кампанії Midnight Blizzard включають посилення брандмауерів, використання багатофакторної автентифікації (MFA), впровадження методів автентифікації, стійких до фішингу, і забезпечення надійних конфігурацій безпеки електронної пошти. Впроваджуючи ці стратегії, організації можуть зменшити ризик компрометації через тактику фішингу зі списом від Midnight Blizzard.
Корпорація Майкрософт надаватиме оновлення для інформування та допомоги постраждалим секторам у міру розвитку ситуації.
Російський актор Midnight Blizzard провів масштабну кампанію фішингу з використанням RDP-файлів
