Microsoft Threat Intelligence 发现了俄罗斯威胁发起者 Midnight Blizzard 发起的一项新攻击活动,该活动针对 100 多个组织的数千名用户。该攻击利用带有 RDP 配置文件的鱼叉式网络钓鱼电子邮件,允许攻击者连接到并可能危害目标系统。
该攻击活动针对高等教育、国防、非政府组织和政府机构的数千名用户。数十个国家受到影响,特别是在英国、欧洲、澳大利亚和日本,这与之前的午夜暴雪网络钓鱼活动一致。
网络钓鱼电子邮件包含 RDP 配置文件
在最新的午夜暴雪攻击活动,受害者收到了高度针对性的电子邮件,其中使用了与以下内容相关的社会工程诱饵、亚马逊网络服务以及零信任的概念。
根据微软威胁情报,这些电子邮件是使用属于合法组织的电子邮件地址发送的,这些地址是威胁行为者在之前的攻击中收集的。所有电子邮件都包含一个 RDP 配置文件,该文件使用免费的 LetsEncrypt 证书签名,其中包含一些敏感设置。
当用户打开该文件时,将与攻击者控制的系统建立 RDP 连接。已建立的 RDP 连接的配置将允许威胁行为者收集有关目标系统的信息,例如文件和文件夹、连接的网络驱动器、打印机、麦克风和智能卡等外围设备。
它还可以收集剪贴板数据、使用 Windows Hello 进行 Web 身份验证、密钥和安全密钥,甚至销售点设备。此类连接还可能允许威胁行为者在目标系统或映射的网络共享上安装恶意软件。
出站 RDP 连接是与创建的域建立的,目的是欺骗目标,使其相信它们是 AWS 域。亚马逊与乌克兰合作CERT-UA在对抗威胁,立即启动了夺取受影响域的过程以扰乱操作。与此同时,微软直接通知了受到攻击或受到威胁的受影响客户。
近年来,午夜暴雪瞄准了各个领域
根据联合网络安全咨询、Midnight Blizzard 以及威胁组织 APT29、Cozy Bear 和 Dukes 都与俄罗斯联邦对外情报局有关联。
因为至少2021年,午夜暴雪经常针对美国、欧洲和全球的国防、技术和金融部门实体,追求网络间谍目的并实现进一步的网络行动,包括支持。
看:(科技共和国高级版)
2024年1月,集团Microsoft 和 Hewlett Packard Enterprise 获得了几名员工的电子邮箱的访问权限。事件发生后,微软指出网络犯罪分子最初的目标是通过电子邮件帐户获取与午夜暴雪本身相关的信息。
然后,在 2024 年 3 月,威胁行为者瞄准更多云环境。
据微软称,Midnight Blizzard 是最隐秘的网络攻击者之一。正如微软的另一份报告指出的那样,该组织此前曾在系统重新启动后禁用该组织的端点检测和响应解决方案。然后,他们静静地等待计算机重新启动一个月,并利用尚未打补丁的易受攻击的计算机。
威胁行为者的技术含量也很高,因为据观察部署魔网,一种放置在 Active Directory 联合服务服务器上的恶意 DLL,用于保持持久性并窃取信息。该工具还允许 Midnight Blizzard 生成令牌,使其能够绕过 AD FS 策略并以任何用户身份登录。
如何防范午夜暴风雪
可以采取多种措施来防范这种威胁:
- 应禁止或限制与外部或公共网络的出站 RDP 连接。
- 应阻止电子邮件客户端或网络邮件访问 RDP 文件。
- 应阻止用户执行 RDP 文件。
- 必须尽可能启用多重身份验证。
- 应部署防网络钓鱼的身份验证方法,例如使用 FIDO 令牌。不应使用基于 SMS 的 MFA,因为它可能会被 SIM 卡劫持攻击绕过。
- 必须实施条件访问身份验证强度才能要求防网络钓鱼身份验证。
此外,必须部署端点检测和响应 (EDR) 来检测和阻止可疑活动。组织还应考虑部署反网络钓鱼和防病毒解决方案,以帮助检测和阻止威胁。
披露:我在趋势科技工作,但本文中表达的观点是我的。
