Microsoft попереджає: російські хакери проводять операцію зі збору розвідувальних даних

Корпорація Microsoft опублікувала попередження про триваючу фішингову кампанію від хакерської групи Midnight Blizzard, яку влада США і Великобританії пов’язує з розвідувальними службами росії.

Компанія заявила, що виявила, що зловмисник розсилає «вузькоспрямовані фішингові електронні листи» щонайменше з 22 жовтня, і що, на її думку, метою цієї операції є збір розвідувальної інформації. За її спостереженнями, група надсилає електронні листи особам, пов’язаним з різними секторами, але вона відома тим, що націлена як на урядові, так і на неурядові організації, постачальників ІТ-послуг, науковців та представників оборонного сектору. Крім того, хоча ця кампанія здебільшого зосереджена на організаціях у США, Україні та Європі, вона також націлена на приватних осіб в Австралії та Японії.

За даними Microsoft, Midnight Blizzard вже розіслала тисячі фішингових електронних листів понад 100 організаціям, пояснивши, що ці листи містять підписаний протокол віддаленого робочого столу (RDP), підключений до сервера, який контролює зловмисник. Група використовувала адреси електронної пошти, що належать реальним організаціям, викрадені під час її попередньої діяльності, змушуючи жертв думати, що вони відкривають легальні електронні листи. Вона також використовувала методи соціальної інженерії, щоб створити враження, ніби електронні листи були надіслані працівниками Microsoft або Amazon Web Services.

Як відбувається атака?

Якщо хтось натискає і відкриває RDP-вкладення, встановлюється з’єднання з сервером, який контролює Midnight Blizzard. Це дає зловмиснику доступ до файлів жертви, будь-яких мережевих дисків або периферійних пристроїв (наприклад, мікрофонів і принтерів), підключених до її комп’ютера, а також до її паролів, ключів безпеки та іншої інформації про веб-автентифікацію. Вони також можуть встановлювати шкідливе програмне забезпечення на комп’ютер і мережу жертви, в тому числі трояни для віддаленого доступу, які можуть залишатися в системі жертви навіть після того, як первинне з’єднання було розірвано.

Група відома під багатьма іншими іменами, такими як Cozy Bear та APT29, але ви, можливо, пам’ятаєте її як суб’єкта загрози, що стоїть за атаками SolarWinds 2020 року, в ході яких їй вдалося проникнути в сотні організацій по всьому світу. На початку цього року він також зламав електронну пошту кількох вищих керівників Microsoft та інших співробітників, отримавши доступ до комунікації між компанією та її клієнтами. Microsoft не повідомила, чи пов’язана ця кампанія з президентськими виборами в США, але радить потенційним жертвам бути більш проактивними у захисті своїх систем.