Rusya Dış İstihbarat Servisi (SVR) ile bağlantılı bir siber casusluk grubu olan Midnight Blizzard, imzalı bir Uzak Masaüstü Protokolü (RDP) yapılandırma dosyası içeren kimlik avı e-postalarıyla hükümet, akademi, savunma ve STK çalışanlarını hedef alıyor.
Microsoft’un tehdit analistleri, “Daha önceki Midnight Blizzard hedef odaklı kimlik avı kampanyalarına ilişkin araştırmamıza dayanarak, bu operasyonun amacının muhtemelen istihbarat toplamak olduğunu değerlendiriyoruz” diyor.
Gece yarısı kar fırtınası
Midnight Blizzard (diğer adıyla Cozy Bear, APT29 ve UNC2452), son on yılda bir dizi yüksek profilli saldırıya karıştı:
Microsoft, “Midnight Blizzard operasyonel hedeflemesinde tutarlı ve ısrarcıdır ve hedefleri nadiren değişir” diye belirtiyor.
“Hedef odaklı kimlik avı, çalınan kimlik bilgileri, tedarik zinciri saldırıları, buluta yanal geçiş için şirket içi ortamlardan ödün verilmesi ve alt müşterilere erişim sağlamak için hizmet sağlayıcıların güven zincirinden yararlanma gibi çeşitli başlangıç erişim yöntemlerini kullanıyor. Midnight Blizzard’ın, FoggyWeb ve MagicWeb olarak bilinen Active Directory Federasyon Hizmeti (AD FS) kötü amaçlı yazılımını kullandığı biliniyor.”
Hedef odaklı kimlik avı kampanyası
Grubun hedef odaklı kimlik avı taktikleri her zaman değişiyor. Örneğin geçen yıl, Microsoft Teams aracılığıyla devlet çalışanlarına kimlik avı yapmaya çalışırken görüldü.
Halen devam eden bu son kampanyada Midnight Blizzard, hedefleri bir RDP yapılandırma dosyasını indirmeleri ve açmaları için kandırmaya çalışıyor (.rdp).
E-postalar, önceki saldırılarda ele geçirilen meşru e-posta adreslerinden gönderiliyor. Hedeflenen binlerce alıcı, aralarında Birleşik Krallık, Avrupa, Avustralya ve Japonya’nın da bulunduğu düzinelerce ülkedeki devlet kurumları, yüksek öğrenim, savunma ve sivil toplum kuruluşlarının çalışanlarıdır.
Ukraynalı CERT ekibinin yakın zamanda uyardığı gibi, kötü amaçlı dosyayı çalıştırmak, saldırganların sunucusuyla giden bir RDP bağlantısı kuracak ve sunucunun disklere, ağ kaynaklarına, yazıcılara, COM bağlantı noktalarına, ses aygıtlarına, panoya ve diğer kaynaklara (kimlik bilgileri dahil) erişmesine olanak tanıyacaktır. ) hedefin bilgisayarında ve ayrıca üçüncü taraf programların veya komut dosyalarının çalıştırılması için teknik ön koşulların yerine getirilmesi.
Malicios dosyasını çalıştırırken gösterilen istemler (Kaynak: Microsoft)
Microsoft, “E-postalar, Microsoft, Amazon Web Services (AWS) ve Sıfır Güven kavramıyla ilgili sosyal mühendislik cazibesi kullanılarak yüksek oranda hedef alınmıştı” diyor.
Amazon, kullandıkları alan adlarından bazılarının, hedefleri kandırarak bu alanların AWS alan adları olduğuna inandırmaya çalıştığını ve şirketin bu alan adlarına el koyma sürecini başlattığını paylaştı.
CERT-UA, posta ağ geçidinde RDP dosyalarının engellenmesini, kullanıcıların RDP dosyalarını çalıştırmasının engellenmesini (istisnalarla) ve güvenlik duvarının, RDP bağlantıları kurma olasılığını sınırlayacak şekilde yapılandırılmasını önerdi. mstsc.exe İnternetteki kaynaklara program.
Microsoft, bu kampanyayla ilgili güvenlik ihlali göstergelerinin yanı sıra azaltımlar ve sorgu aramaları da sağladı.