A Microsoft emitiu um aviso sobre uma campanha de spear-phishing em andamento por um ator de ameaça chamado Midnight Blizzard, que as autoridades dos EUA e do Reino Unido anteriormente ligaram à agência de inteligência da Rússia. A empresa disse que descobriu que o ator malicioso tem enviado “e-mails de spear-phishing altamente direcionados” desde pelo menos 22 de outubro e que acredita que o objetivo da operação é coletar inteligência. Com base em suas observações, o grupo tem enviado e-mails para indivíduos vinculados a vários setores, mas é conhecido por almejar tanto organizações governamentais quanto não governamentais, provedores de serviços de TI, academia e defesa. Além disso, embora se concentre principalmente em organizações nos EUA e na Europa, essa campanha também visou indivíduos na Austrália e no Japão.
A Midnight Blizzard já enviou milhares de e-mails de spear-phishing para mais de 100 organizações nesta campanha, disse a Microsoft, explicando que esses e-mails contêm um Protocolo de Área Remota (RDP) assinado conectado a um servidor que o ator malicioso controla. O grupo usou endereços de e-mail pertencentes a organizações reais roubados durante suas atividades anteriores, fazendo com que os alvos pensassem que estavam abrindo e-mails legítimos. Também usou técnicas de engenharia social para fazer parecer que os e-mails foram enviados por funcionários da Microsoft ou da Amazon Web Services.
Se alguém clicar e abrir o anexo RDP, uma conexão é estabelecida com o servidor controlado pela Midnight Blizzard. Isso dá ao ator malicioso acesso aos arquivos do alvo, a quaisquer unidades de rede ou periféricos (como microfones e impressoras) conectados ao computador deles, bem como suas chaves de acesso, chaves de segurança e outras informações de autenticação da web. Também poderia instalar malware no computador e na rede do alvo, incluindo trojans de acesso remoto que poderia usar para permanecer no sistema da vítima mesmo após a conexão inicial ter sido cortada.
O grupo é conhecido por muitos outros nomes, como Cozy Bear e APT29, mas você pode se lembrar dele como o ator de ameaça por trás dos ataques de SolarWinds em 2020, onde conseguiu infiltrar centenas de organizações ao redor do mundo. Ele também invadiu os e-mails de vários executivos seniores da Microsoft e outros funcionários no início deste ano, acessando comunicações entre a empresa e seus clientes. A Microsoft não disse se esta campanha tem alguma relação com as eleições presidenciais dos EUA, mas está aconselhando os potenciais alvos a serem mais proativos na proteção de seus sistemas.