Microsoft hat eine Warnung ausgesprochen über eine laufende Spear-Phishing-Kampagne eines Bedrohungsakteurs namens Midnight Blizzard, die US-amerikanische und britische Behörden zuvor mit dem russischen Geheimdienst in Verbindung brachten. Das Unternehmen sagte, es habe herausgefunden, dass der Täter seit mindestens dem 22. Oktober „sehr gezielte Spear-Phishing-E-Mails“ verschickt habe und dass es der Ansicht sei, dass das Ziel der Operation darin bestehe, Informationen zu sammeln. Basierend auf ihren Beobachtungen hat die Gruppe E-Mails an Personen verschickt, die mit verschiedenen Sektoren in Verbindung stehen. Sie ist jedoch dafür bekannt, dass sie sowohl Regierungs- als auch Nichtregierungsorganisationen, IT-Dienstleister, die Wissenschaft und die Verteidigung ins Visier nimmt. Darüber hinaus konzentrierte sich diese Kampagne hauptsächlich auf Organisationen in den USA und in Europa, richtete sich jedoch auch an Einzelpersonen in Australien und Japan.
Midnight Blizzard habe für diese Kampagne bereits Tausende von Spear-Phishing-E-Mails an über 100 Organisationen verschickt, sagte Microsoft und erklärte, dass diese E-Mails ein signiertes Remote Desktop Protocol (RDP) enthielten, das mit einem Server verbunden sei, den der Angreifer kontrolliert. Die Gruppe nutzte E-Mail-Adressen echter Organisationen, die im Rahmen früherer Aktivitäten gestohlen wurden, und ließ die Zielpersonen glauben, sie würden legitime E-Mails öffnen. Außerdem wurden Social-Engineering-Techniken eingesetzt, um den Eindruck zu erwecken, dass die E-Mails von Mitarbeitern von Microsoft oder Amazon Web Services gesendet wurden.
Wenn jemand auf den RDP-Anhang klickt und ihn öffnet, wird eine Verbindung zu dem Server hergestellt, den Midnight Blizzard steuert. Anschließend erhält der Angreifer Zugriff auf die Dateien des Ziels, alle Netzwerklaufwerke oder Peripheriegeräte (z. B. Mikrofone und Drucker), die an seinen Computer angeschlossen sind, sowie auf seine Passkeys, Sicherheitsschlüssel und andere Web-Authentifizierungsinformationen. Es könnte auch Malware auf dem Computer und im Netzwerk des Opfers installieren, einschließlich Remote-Access-Trojanern, die es nutzen könnte, um im System des Opfers zu verbleiben, selbst nachdem die ursprüngliche Verbindung unterbrochen wurde.
Die Gruppe ist unter vielen anderen Namen bekannt, wie zum Beispiel Cozy Bear und APT29, aber Sie erinnern sich vielleicht an sie als den Bedrohungsakteur hinter dem Jahr 2020 SolarWinds-AngriffeDabei war es ihr gelungen, Hunderte von Organisationen auf der ganzen Welt zu infiltrieren. Es auch ist in die E-Mails eingebrochen von mehreren leitenden Microsoft-Führungskräften und anderen Mitarbeitern Anfang dieses Jahres, auf Kommunikation zugreifen zwischen dem Unternehmen und seinen Kunden. Microsoft hat nicht gesagt, ob diese Kampagne etwas mit den US-Präsidentschaftswahlen zu tun hat, rät potenziellen Zielpersonen jedoch, ihre Systeme proaktiver zu schützen.
Wenn Sie über einen Link in diesem Artikel etwas kaufen, erhalten wir möglicherweise eine Provision.
