Microsoft hat eine Warnung vor einer andauernden Spear-Phishing-Kampagne durch einen Bedrohungsakteur namens Midnight Blizzard herausgegeben, der zuvor von US-amerikanischen und britischen Behörden mit dem russischen Geheimdienst in Verbindung gebracht wurde. Das Unternehmen gab bekannt, dass es herausgefunden habe, dass der böswillige Akteur seit mindestens dem 22. Oktober „hochgradig zielgerichtete Spear-Phishing-E-Mails“ versendet, und dass es davon ausgeht, dass das Ziel der Operation darin besteht, Informationen zu sammeln. Den Beobachtungen zufolge hat die Gruppe E-Mails an Personen in verschiedenen Sektoren verschickt, aber es ist bekannt, dass sie sowohl staatliche als auch nichtstaatliche Organisationen, IT-Dienstleister, Universitäten und das Verteidigungsministerium ins Visier genommen hat.
Obwohl sich die Kampagne hauptsächlich auf Organisationen in den USA und Europa konzentrierte, wurden auch Einzelpersonen in Australien und Japan angesprochen.
Laut Microsoft hat Midnight Blizzard im Rahmen dieser Kampagne bereits Tausende von Spear-Phishing-E-Mails an über 100 Organisationen verschickt. Diese E-Mails enthalten ein signiertes Remote Desktop Protocol (RDP), das mit einem von den Tätern kontrollierten Server verbunden ist.
Die Gruppe verwendete E-Mail-Adressen echter Organisationen, die sie bei früheren Aktivitäten gestohlen hatte, um die Opfer glauben zu machen, dass sie legitime E-Mails öffnen. Sie nutzte auch Social-Engineering-Techniken, um den Eindruck zu erwecken, dass die E-Mails von Mitarbeitern von Microsoft oder Amazon Web Services gesendet wurden.
Wenn jemand auf den RDP-Anhang klickt und ihn öffnet, wird eine Verbindung zu dem von Midnight Blizzard kontrollierten Server hergestellt. Der Betrüger hat dann Zugriff auf die Dateien des Opfers, auf alle an den Computer angeschlossenen Netzlaufwerke oder Peripheriegeräte (z. B. Mikrofone und Drucker) sowie auf Passwörter, Sicherheitsschlüssel und andere Web-Authentifizierungsinformationen. Sie kann auch Schadsoftware auf dem Computer und im Netzwerk des Opfers installieren, einschließlich Trojanern für den Fernzugriff, die auch nach dem Trennen der ursprünglichen Verbindung im System des Opfers verbleiben können.
Die Gruppe ist unter vielen anderen Namen bekannt, darunter Cozy Bear und APT29, aber Sie erinnern sich vielleicht an sie als den Bedrohungsakteur hinter den SolarWinds-Angriffen im Jahr 2020, bei denen es ihr gelang, Hunderte von Organisationen auf der ganzen Welt zu infiltrieren. Anfang des Jahres drang er auch in die E-Mails mehrerer Microsoft-Manager und anderer Mitarbeiter ein und verschaffte sich Zugang zur Kommunikation zwischen dem Unternehmen und seinen Kunden. Microsoft hat nicht bekannt gegeben, ob diese Kampagne im Zusammenhang mit den US-Präsidentschaftswahlen steht, rät aber potenziellen Zielen, ihre Systeme proaktiver zu schützen.
