微软发现了俄罗斯支持的黑客组织 Midnight Blizzard 发起的大规模鱼叉式网络钓鱼活动,该组织旨在通过利用网络钓鱼电子邮件中的远程桌面协议 (RDP) 文件来收集情报。
此次攻击针对全球关键部门,包括政府、国防、学术和非政府组织。
根据Microsoft Threat Intelligence 的数据,午夜暴雪活动于 2024 年 10 月 22 日开始,并持续影响英国、欧洲、澳大利亚和日本的目标用户。
https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign-using-rdp-files/
此活动标志着午夜暴雪方法的转变,引入了嵌入在网络钓鱼电子邮件中的签名 RDP 配置文件的使用,这种方法允许攻击者控制目标系统并获取敏感数据。
午夜暴雪(Midnight Blizzard),又名 APT29 或“Cozy Bear”,隶属于俄罗斯对外情报局 (SVR),自 2018 年以来一直从事情报收集工作。其目标主要包括政府实体、非政府组织和 IT 提供商,业务中心位于美国和欧洲。
Midnight Blizzard 之前曾使用过各种手段来渗透目标,包括凭证窃取、云环境中的横向移动和供应链入侵。
值得注意的是,该组织曾使用 FOGGYWEB 和 MAGICWEB 等复杂恶意软件来渗透 Active Directory 联合服务 (AD FS) 环境,从而实现对敏感数据的长期隐秘访问。
攻击方法概述
此次攻击活动中使用的鱼叉式网络钓鱼电子邮件具有很强的针对性,利用模仿策略引用 Microsoft 和 AWS 等知名公司。
这些电子邮件中嵌入了签名的 RDP 配置文件,提示收件人启动远程连接,从而授予攻击者访问各种系统资源的权限。
微软透露,一旦目标打开此恶意 RDP 文件,就会建立与 Midnight Blizzard 控制的服务器的连接,从而可以直接访问:
-
文件和目录
-
连接的网络驱动器和外围设备(例如智能卡、打印机)
-
剪贴板数据和身份验证机制,例如 Windows Hello 和安全密钥
通过这些连接,攻击者可以部署其他恶意软件,例如远程访问木马 (RAT),以保持对受感染设备和网络的长期访问。
微软的分析表明,受感染系统的资源和凭据可能会暴露给攻击者,从而可能导致更广泛的组织渗透。
IoC和响应
微软分享了与此活动相关的关键 IoC,详细说明了与攻击者控制的服务器关联的域和 IP 地址。
目标域包括各个部门的受感染组织,而钓鱼电子邮件中使用的 .RDP 文件名(例如“AWS IAM 合规性检查.rdp”和“零信任架构配置.rdp”)是该组织对精通技术的目标的诱惑。
为了防御此威胁,Microsoft 建议用户使用 Windows 防火墙限制出站 RDP 连接,使用 FIDO 令牌等防网络钓鱼方法实施多因素身份验证 (MFA),并在 Microsoft Defender for Endpoint 中启用防篡改、网络保护和 Web 保护。
原文始发于微信公众号(网络研究观):微软:俄罗斯黑客利用 RDP 窃取政府数据
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论