Microsoft предупреждает о новой волне фишинговых атак

Microsoft выпустила важное предупреждение о масштабной фишинговой кампании, развернутой злоумышленниками из группы Midnight Blizzard, ранее связанной с российским разведывательным агентством. В этой атаке используются высоко таргетированные фишинговые письма для проникновения в системы, ориентированные на сбор разведывательных данных. Группа Midnight Blizzard, также известная как Cozy Bear или APT29, уже привлекла внимание мировой общественности, организовав атаку на SolarWinds в 2020 году.

Текущие цели и тактика Midnight Blizzard

По данным Microsoft, фишинговая кампания, запущенная Midnight Blizzard, началась 22 октября и направлена на широкий круг организаций в США, Европе, Австралии и Японии. В числе мишеней — правительственные учреждения, поставщики IT-услуг, научные и оборонные организации. Злоумышленники отправляют электронные письма, маскируясь под известных поставщиков, таких как Microsoft и Amazon Web Services. Эти письма содержат файл с протоколом удаленного рабочего стола (RDP), который подключает пользователя к серверу, контролируемому атакующими.

Методы фишинга и риски для компаний

Для этой атаки Midnight Blizzard использует социальную инженерию и подмену электронных адресов, выданных за легитимные компании. Открытие вложенного RDP-файла позволяет злоумышленникам установить соединение с устройством пользователя и получить доступ к его файлам, подключенным устройствам и учетным данным. Это может привести к установке вредоносных программ, таких как трояны удаленного доступа, позволяющие злоумышленникам оставаться в системе жертвы даже после разрыва начального соединения.

Microsoft не подтвердила, связана ли текущая атака с предстоящими президентскими выборами в США, но советует организациям усилить защиту IT-инфраструктуры и повысить бдительность сотрудников к фишинговым угрозам.