Microsoft a émis une alerte concernant une campagne de spear-phishing en cours menée par un acteur de la menace nommé Midnight Blizzard, précédemment lié aux services secrets russes par les autorités américaines et britanniques. La société a annoncé qu'elle avait découvert que l'acteur malveillant envoyait des "e-mails de spear phishing hautement ciblés" depuis au moins le 22 octobre, et qu'elle pensait que l'objectif de l'opération était de collecter des informations. Selon les observations, le groupe a envoyé des courriels à des personnes de différents secteurs, mais on sait qu'il a ciblé des organisations gouvernementales et non gouvernementales, des fournisseurs de services informatiques, des universités et le ministère de la Défense.
Bien que la campagne se soit principalement concentrée sur des organisations aux États-Unis et en Europe, des individus en Australie et au Japon ont également été ciblés.
Selon Microsoft, Midnight Blizzard a déjà envoyé des milliers d'e-mails de spear phishing à plus de 100 organisations dans le cadre de cette campagne. Ces e-mails contiennent un protocole RDP (Remote Desktop Protocol) signé et connecté à un serveur contrôlé par les malfaiteurs.
Le groupe a utilisé des adresses électroniques d'organisations réelles qu'il avait volées lors d'activités précédentes pour faire croire aux victimes qu'elles ouvraient des courriels légitimes. Il a également utilisé des techniques d'ingénierie sociale pour donner l'impression que les courriels étaient envoyés par des employés de Microsoft ou d'Amazon Web Services.
Si quelqu'un clique sur la pièce jointe RDP et l'ouvre, une connexion est établie avec le serveur contrôlé par Midnight Blizzard. L'escroc a alors accès aux fichiers de la victime, à tous les lecteurs réseau ou périphériques (microphones et imprimantes, par exemple) connectés à l'ordinateur, ainsi qu'aux mots de passe, clés de sécurité et autres informations d'authentification Web. Elle peut également installer des logiciels malveillants sur l'ordinateur et le réseau de la victime, y compris des chevaux de Troie d'accès à distance, qui peuvent rester dans le système de la victime même après la déconnexion initiale.
Le groupe est connu sous de nombreux autres noms, dont Cozy Bear et APT29, mais vous vous souvenez peut-être de lui comme l'acteur de la menace derrière les attaques de SolarWinds en 2020, où il a réussi à infiltrer des centaines d'organisations à travers le monde. Au début de l'année, il s'est également introduit dans les courriels de plusieurs cadres de Microsoft et d'autres employés et a eu accès aux communications entre l'entreprise et ses clients. Microsoft n'a pas révélé si cette campagne était liée aux élections présidentielles américaines, mais conseille aux cibles potentielles de protéger leurs systèmes de manière plus proactive.
