大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
近日,微软发出预警,俄罗斯背景的高级持续性威胁(APT)组织“午夜暴雪”(Midnight Blizzard,也称APT29、SVR组织、BlueBravo、Cozy Bear、Nobelium、The Dukes)正利用鱼叉式网络钓鱼手段,针对100多个组织、数千名用户进行新一轮情报收集活动。这场攻击波及范围广泛,影响到英国、欧洲、澳大利亚和日本的政府、国防、学术界、非政府组织等多个领域。
“午夜暴雪”攻击手法升级,RDP文件变身攻击工具
微软在10月22日发现了此轮大规模鱼叉式网络钓鱼活动,攻击邮件中引入了巧妙的社会工程技巧,并使用了与微软、亚马逊AWS和零信任相关的内容作为诱饵。不同于以往的攻击手段,此次攻击中的远程桌面协议(RDP)文件带有签名(由LetsEncrypt证书签名),用户一旦打开RDP文件,攻击者将获得与目标设备的连接权限,甚至可以访问硬盘、剪贴板内容、打印机等敏感资源。
乌克兰CERT-UA和亚马逊也发出警告
乌克兰政府的计算机应急响应小组(CERT-UA)和亚马逊公司也对该活动进行了通报,提醒全球各组织加强警惕。通过RDP配置文件自动映射本地系统资源到攻击者的服务器,午夜暴雪组织得以进一步窃取受害者系统中的关键数据,例如剪贴板信息、智能卡认证等。
重要提醒:防御措施与缓解方法
微软建议企业和个人应警惕使用与合法公司相似的邮件地址发送的鱼叉式网络钓鱼邮件。对于组织来说,加强多重认证机制、严格的RDP访问管理、定期的系统安全检测是必要的防御措施。微软发布的IOC(指标和特征)信息也可帮助技术团队识别和缓解潜在风险。
结语
作为国际知名的APT组织,“午夜暴雪”不仅在2020年发起SolarWinds供应链攻击而声名大噪,也一直被认为是国家级情报收集与网络攻击的核心力量。面对这类高危威胁,组织和个人需进一步提升安全意识,积极防范新型的网络钓鱼手法和复杂的RDP攻击。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):微软预警!俄罗斯APT组织“午夜暴雪”利用RDP文件发起大规模网络钓鱼攻击,全球超百组织受威胁
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论