O Midnight Blizzard tem como alvo uma variedade de setores, mas é especialmente conhecido por focar em organizações governamentais e não governamentais, provedores de serviços de TI, instituições acadêmicas e o setor de defesa. Embora a maioria das suas ações esteja concentrada nos Estados Unidos e na Europa, também foram identificados alvos na Austrália e no Japão.
A campanha já resultou no envio de milhares de e-mails de spear-phishing para mais de 100 organizações. Esses e-mails contêm um anexo de Protocolo de Área de Trabalho Remota (RDP) assinado, que se conecta a um servidor controlado pelo grupo. Para aumentar a eficácia da fraude, os criminosos utilizaram endereços de e-mail de organizações reais que foram roubados em atividades anteriores, fazendo com que as vítimas acreditassem que estavam abrindo mensagens legítimas. Além disso, técnicas de engenharia social foram empregadas para que os e-mails parecessem enviados por funcionários da Microsoft ou da Amazon Web Services.
Se um destinatário clicar e abrir o anexo RDP, uma conexão é estabelecida com o servidor controlado pelo Midnight Blizzard. Isso permite ao ator malicioso acessar arquivos da vítima, unidades de rede e periféricos, como microfones e impressoras conectadas ao computador, além de chaves de segurança e outras informações de autenticação online. O grupo também pode instalar malwares no sistema da vítima, incluindo trojans de acesso remoto, que garantem sua permanência na rede mesmo após a desconexão inicial.
Esse grupo é conhecido por outros nomes, como Cozy Bear e APT29, e ficou famoso por estar por trás dos ataques à SolarWinds em 2020, quando conseguiu infiltrar centenas de organizações em todo o mundo. Recentemente, eles também invadiram os e-mails de executivos seniores da Microsoft e de outros funcionários, acessando comunicações entre a empresa e seus clientes. Embora a Microsoft não tenha confirmado se essa campanha está relacionada às eleições presidenciais dos EUA, a empresa recomenda que potenciais alvos adotem uma postura mais proativa na proteção de seus sistemas.
Redação Confraria Tech.
Referências:
Microsoft issues warning for ongoing Russia-affiliated spear-phishing campaign