Компания Microsoft сообщила, что российская Служба внешней разведки (СВР) провела серию атак на государственных служащих и сотрудников организаций в разных странах, используя фишинговую кампанию для установки вредоносного ПО. Атаки, организованные группой Midnight Blizzard (так в компании называют данную хакерскую группу), направлены на правительственные и неправительственные структуры, а также на академические и оборонные учреждения. Источник: The Record
С 22 октября хакеры рассылали фишинговые письма, в которых содержались файлы удаленного доступа (RDP), подключающие устройство жертвы к серверам, контролируемым злоумышленниками. Microsoft отметила, что эти файлы содержат конфиденциальные настройки, способные предоставить хакерам полный доступ к устройству и данным. В случае открытия вложения хакеры получают возможность устанавливать вредоносное ПО, управлять сетью жертвы и даже доступ к периферийным устройствам, таким как принтеры и устройства безопасности.
Компания утверждает, что атака распространяется на тысячи адресатов более чем в 100 организациях, включая учреждения в <ритании, Европе, Австралии и Японии. Для повышения доверия к фишинговым письмам хакеры иногда выдавали себя за сотрудников Microsoft или использовали ссылки на Amazon Web Services (AWS), эксплуатируя тему «нулевого доверия».
Использование файлов конфигурации RDP в атаке стало новой тактикой группы Midnight Blizzard. Помимо Microsoft, с аналогичными заявлениями выступили представители Amazon, где подтвердили наблюдение за активностью хакеров СВР. Amazon также начала процесс закрытия доменов, которые хакеры использовали для фальсификации.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet