Microsoft ha lanciato un allarme su una campagna di spear phishing in corso da parte di un attore di minacce chiamato Midnight Blizzard, che in passato è stato collegato all'intelligence russa dalle autorità statunitensi e britanniche. L'azienda ha annunciato di aver scoperto che l'attore malintenzionato sta inviando "email di spear phishing altamente mirate" almeno dal 22 ottobre e ritiene che lo scopo dell'operazione sia quello di raccogliere informazioni. Secondo le osservazioni, il gruppo ha inviato e-mail a persone di vari settori, ma è noto che ha preso di mira organizzazioni governative e non, fornitori di servizi IT, università e il Ministero della Difesa.
Sebbene la campagna si sia concentrata principalmente sulle organizzazioni negli Stati Uniti e in Europa, sono stati presi di mira anche individui in Australia e Giappone.
Secondo Microsoft, Midnight Blizzard ha già inviato migliaia di e-mail di spear phishing a oltre 100 organizzazioni nell'ambito di questa campagna. Queste e-mail contengono un protocollo RDP (Remote Desktop Protocol) firmato e collegato a un server controllato dagli autori del reato.
Il gruppo ha utilizzato indirizzi e-mail di organizzazioni reali che aveva rubato in attività precedenti per far credere alle vittime che stavano aprendo e-mail legittime. Hanno inoltre utilizzato tecniche di social engineering per far credere che le e-mail fossero inviate da dipendenti di Microsoft o Amazon Web Services.
Quando qualcuno fa clic sull'allegato RDP e lo apre, viene stabilita una connessione al server controllato da Midnight Blizzard. Il truffatore ha quindi accesso ai file della vittima, a qualsiasi unità di rete o periferica (come microfoni e stampanti) collegata al computer, nonché a password, chiavi di sicurezza e altre informazioni di autenticazione web. Può anche installare malware sul computer e sulla rete della vittima, compresi i Trojan per l'accesso remoto, che possono rimanere sul sistema della vittima anche dopo che la connessione originale è stata interrotta.
Il gruppo è conosciuto con molti altri nomi, tra cui Cozy Bear e APT29, ma forse lo ricorderete come l'attore delle minacce dietro gli attacchi SolarWinds del 2020, in cui è riuscito a infiltrarsi in centinaia di organizzazioni in tutto il mondo. All'inizio di quest'anno è penetrato anche nelle e-mail di diversi dirigenti e altri dipendenti di Microsoft e ha avuto accesso alle comunicazioni tra l'azienda e i suoi clienti. Microsoft non ha rivelato se questa campagna sia legata alle elezioni presidenziali statunitensi, ma consiglia ai potenziali obiettivi di essere più proattivi nel proteggere i propri sistemi.
