Служба розвідки загроз Microsoft зафіксувала, що російське хакерське угрупування Midnight Blizzard тисячі фішингових електронних листів, націлені на урядові та неурядові організації, постачальників ІТ-послуг, наукові кола та оборону. Атака розпочалася 22 жовтня і досі триває. Її мета — збір розвідувальних даних.
Служба розвідки загроз Microsoft зафіксувала, що російське хакерське угрупування Midnight Blizzard тисячі фішингових електронних листів, націлені на урядові та неурядові організації, постачальників ІТ-послуг, наукові кола та оборону. Атака розпочалася 22 жовтня і досі триває. Її мета — збір розвідувальних даних.
Midnight Blizzard вже розіслала тисячі фішингових електронних листів більш ніж 100 організаціям, які розташовані переважно у США та Європі, також окремим особам в Австралії та Японії, повідомляє Microsoft.
Про атаку, що перетинається, також повідомляла Урядова команда реагування на комп’ютерні надзвичайні ситуації України (CERT-UA).
Листи містять підписаний протокол віддаленого робочого столу (RDP), підключений до сервера, який контролюють хакери. Група використовувала адреси електронної пошти, що належать реальним організаціям, викрадені під час її попередньої діяльності, змушуючи жертв думати, що вони відкривають легальні електронні листи. Вона також використовувала методи соціальної інженерії, щоб створити враження, ніби листи були надіслані співробітниками Microsoft або Amazon Web Services.
Якщо хтось клацне та відкриє вкладення RDP, буде встановлено з’єднання з сервером, яким керує Midnight Blizzard. Потім він надає зловмиснику доступ до файлів цілі, будь-яких мережевих дисків або периферійних пристроїв (таких як мікрофони та принтери), підключених до комп’ютера, а також ключів доступу, ключів безпеки та іншої інформації вебавтентифікації. Також може встановити зловмисне програмне забезпечення на цільовому комп’ютері та в мережі, включно з троянами віддаленого доступу, які можуть використовуватися, щоб залишатися в системі жертви навіть після того, як початкове з’єднання було розірвано.
Крім того, нещодавно стало відомо, що російські хакери Black Basta видають себе за ІТ-підтримку Microsoft Teams, щоб викрасти логіни та паролі компаній.
Midnight Blizzard це російський суб'єкт загрози, який уряди США і Великої Британії пов’язують зі службою зовнішньої розвідки рф. Насамперед діяльність націлена на уряди, дипломатичні установи, неурядові організації та постачальників ІТ-послуг, передусім у США та Європі. Діяльність спрямована на збір розвідувальної інформації шляхом довготривалого та цілеспрямованого шпигунства в інтересах іноземних держав, яке можна простежити з початку 2018 року. Її операції часто пов’язані з компрометацією дійсних облікових записів, а в деяких вузькоспрямованих випадках — із застосуванням передових методів компрометації механізмів автентифікації в організації з метою розширення доступу та уникнення виявлення.
