Microsoft tiene Emitir una advertencia Sobre una campaña de phishing en curso por parte de un actor de amenazas llamado Midnight Blizzard, que las autoridades de EE. UU. y el Reino Unido han vinculado previamente con la agencia de inteligencia rusa. La compañía dijo que descubrió que el mal actor había estado enviando “correos electrónicos de phishing altamente específicos” desde al menos el 22 de octubre, y que creía que la operación tenía como objetivo recopilar información de inteligencia. Según sus observaciones, el grupo enviaba correos electrónicos a personas asociadas con diversos sectores, pero es conocido por apuntar a organizaciones gubernamentales y no gubernamentales, proveedores de servicios de TI, academia y defensa. Además, aunque esta campaña se centró principalmente en organizaciones de Estados Unidos y Europa, también se dirigió a personas de Australia y Japón.
Midnight Blizzard ya ha enviado miles de correos electrónicos de phishing a más de 100 organizaciones para esta campaña, dijo Microsoft, explicando que estos correos electrónicos contenían una conexión firmada de Protocolo de escritorio remoto (RDP) al servidor controlado por el mal actor. El grupo utilizó direcciones de correo electrónico pertenecientes a organizaciones reales que habían sido robadas durante sus actividades anteriores, haciendo creer a los objetivos que estaban abriendo correos electrónicos legítimos. También utilizó técnicas de ingeniería social para hacer que los correos electrónicos parecieran enviados por empleados de Microsoft o Amazon Web Services.
Si alguien hace clic en el archivo adjunto RDP y lo abre, se establecerá una conexión con el servidor de control de Midnight Blizzard. Luego, el malhechor otorga acceso a los archivos del objetivo, a cualquier unidad de red o periférico (como micrófonos e impresoras) conectados a sus computadoras, así como a claves de acceso, claves de seguridad y otra información de autenticación web. También puede instalar malware en la computadora y la red de un objetivo, incluidos troyanos de acceso remoto que pueden usarse para permanecer en el sistema de la víctima incluso después de que se corta la conexión inicial.
El grupo es conocido por muchos otros nombres, como Cozy Bear y APT29, pero quizás lo recuerdes como el actor de amenazas detrás de los ataques de SolarWinds de 2020, donde logró infiltrarse en cientos de organizaciones en todo el mundo. También pirateó los correos electrónicos de varios altos ejecutivos de Microsoft y otros empleados a principios de este año, obteniendo acceso a las comunicaciones entre la empresa y sus clientes. Microsoft no dijo si esta campaña tiene algo que ver con las elecciones presidenciales de Estados Unidos, pero aconseja a los objetivos potenciales que sean más proactivos en la protección de sus sistemas.
Si compra algo a través del enlace de este artículo, es posible que ganemos una comisión.