Midnight Blizzard voert grootschalige spear-phishing campagne uit met behulp van RDP-bestanden
Microsoft Threat Intelligence heeft sinds 22 oktober 2024 een reeks zeer gerichte spear-phishing e-mails van de Russische bedreigingsactor Midnight Blizzard waargenomen, gericht aan personen in de overheid, academische wereld, defensie, non-gouvernementele organisaties en andere sectoren. Deze activiteit is nog steeds aan de gang en Microsoft zal blijven onderzoeken en updates verstrekken zodra deze beschikbaar zijn.
Op basis van ons onderzoek naar eerdere spear-phishing campagnes van Midnight Blizzard, schatten we dat het doel van deze operatie waarschijnlijk het verzamelen van informatie is. Microsoft publiceert dit blog om het publiek te informeren en de activiteiten van deze bedreigingsactor te verstoren. Dit blog geeft context aan deze externe spear-phishing pogingen, die veelvoorkomende aanvalstechnieken zijn en geen nieuwe inbreuk op Microsoft vertegenwoordigen.
De spear-phishing e-mails in deze campagne werden naar duizenden doelwitten in meer dan 100 organisaties gestuurd en bevatten een ondertekend Remote Desktop Protocol (RDP) configuratiebestand dat verbinding maakte met een door de actor gecontroleerde server. In sommige van de lokazen probeerde de actor geloofwaardigheid toe te voegen aan zijn kwaadaardige berichten door zich voor te doen als Microsoft-medewerkers. De bedreigingsactor verwees ook naar andere cloudproviders in de phishing-lokkazen.
Hoewel deze campagne zich richt op veel van de gebruikelijke doelwitten van Midnight Blizzard, vormt het gebruik van een ondertekend RDP-configuratiebestand om toegang te krijgen tot de apparaten van de doelwitten een nieuwe toegangsvariant voor deze actor. Overlappende activiteiten zijn ook gemeld door het Government Computer Emergency Response Team of Ukraine (CERT-UA) onder de aanduiding UAC-0215 en ook door Amazon.
NGO
Midnight Blizzard is een Russische bedreigingsactor die door de Amerikaanse en Britse regeringen wordt toegeschreven aan de Buitenlandse Inlichtingendienst van de Russische Federatie, ook bekend als de SVR. Deze bedreigingsactor richt zich voornamelijk op regeringen, diplomatieke entiteiten, non-gouvernementele organisaties (NGO's) en IT-serviceproviders, voornamelijk in de Verenigde Staten en Europa. De focus ligt op het verzamelen van informatie door langdurige en toegewijde spionage van buitenlandse belangen die terug te voeren zijn tot begin 2018. De operaties omvatten vaak het compromitteren van geldige accounts en, in sommige zeer gerichte gevallen, geavanceerde technieken om authenticatiemechanismen binnen een organisatie te compromitteren om de toegang uit te breiden en detectie te omzeilen.
Midnight Blizzard is consistent en persistent in zijn operationele targeting, en zijn doelstellingen veranderen zelden. Het gebruikt diverse initiële toegangmethoden, waaronder spear phishing, gestolen referenties, supply chain-aanvallen, compromitteren van on-premise omgevingen om lateraal te bewegen naar de cloud, en het benutten van het vertrouwensverband van serviceproviders om toegang te krijgen tot downstream klanten. Midnight Blizzard staat erom bekend de Active Directory Federation Service (AD FS) malware FOGGYWEB en MAGICWEB te gebruiken. Midnight Blizzard wordt door peer security-leveranciers geïdentificeerd als APT29, UNC2452 en Cozy Bear.
Zoals bij elke waargenomen activiteit van een natiestaat-actor, is Microsoft bezig met het direct informeren van klanten die zijn gericht of gecompromitteerd, en voorziet hen van de nodige informatie om hun accounts te beveiligen. Sterke anti-phishing maatregelen zullen helpen om deze bedreiging te verminderen. Als onderdeel van onze toewijding om te helpen beschermen tegen cyberdreigingen, bieden wij indicatoren van compromis (IOCs), hunting queries, detectiedetails en aanbevelingen aan het einde van dit bericht.
