-
-
俄罗斯关联的午夜暴雪APT针对100多个组织进行鱼叉式钓鱼攻击,使用RDP文件
-
发表于: 2024-11-2 11:18 2177
-
微软警告称,俄罗斯关联的APT组织午夜暴雪(也称为APT29、SVR集团、BlueBravo、Cozy Bear、Nobelium和The Dukes)正在进行一场大规模的鱼叉式钓鱼攻击,目标锁定100多个组织的1000多名用户,以进行情报收集。
午夜暴雪组织与APT28网络间谍组织一起,参与了民主党全国委员会的黑客攻击以及针对2016年美国总统选举的一系列攻击。该组织还因2020年针对超过18000家客户组织的SolarWinds供应链攻击而闻名,其中包括微软。
最近的攻击仍在进行中,已经针对多个行业的实体,包括政府、国防、学术界、非政府组织和其他部门。受害者分布在英国、欧洲国家、澳大利亚和日本。
“2024年10月22日,微软发现午夜暴雪进行了一场鱼叉式钓鱼攻击,向100多个组织的数千名用户发送了钓鱼邮件。这些邮件高度针对性,使用了与微软、亚马逊网络服务(AWS)和零信任概念相关的社会工程诱饵。”微软在其报告中写道,“这些邮件包含一个使用LetsEncrypt证书签名的远程桌面协议(RDP)配置文件。RDP配置(.RDP)文件总结了在成功连接到RDP服务器时建立的自动设置和资源映射。这些配置将本地系统的功能和资源扩展到攻击者控制的服务器。”
微软专家指出,使用签名的RDP配置文件来获取目标设备的访问权限是该威胁行为者使用的新战术。
乌克兰政府计算机应急响应小组(CERT-UA)和亚马逊也对此攻击发出了警告。
在这种攻击中使用的RDP配置文件自动将本地系统资源扩展到攻击者的服务器,暴露敏感数据,如硬盘、剪贴板内容、打印机和身份验证功能,包括智能卡,给威胁行为者的服务器。
“午夜暴雪在此次攻击中发送的钓鱼邮件使用了先前入侵中收集的合法组织的电子邮件地址。”报告总结道,并提供了此次攻击的IOC以及缓解措施。
关键要点:
- 午夜暴雪APT正在进行一场大规模的鱼叉式钓鱼攻击,目标锁定100多个组织的1000多名用户。
- 攻击者使用签名的RDP配置文件来获取目标设备的访问权限,这是一种新的战术。
- 受害者分布在英国、欧洲国家、澳大利亚和日本,涉及多个行业,包括政府、国防、学术界、非政府组织和其他部门。
- 微软、乌克兰CERT-UA和亚马逊已经对此攻击发出了警告。
建议措施:
- 提高对鱼叉式钓鱼攻击的警惕,特别是那些包含RDP配置文件的邮件。
- 定期更新和修补系统,以防止已知漏洞的利用。
- 实施多因素身份验证(MFA)以增强安全性。
- 监控和分析网络流量,以检测异常活动。
结论: 午夜暴雪APT的这一最新攻击凸显了网络间谍活动的复杂性和持续性。组织必须保持警惕,并采取积极措施来保护其系统和数据免受此类威胁。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)