俄羅斯情報機關有關的威脅組織「午夜暴雪」(Midnight Blizzard)近期發動大規模網路攻擊,其攻擊範圍之廣和新穎的戰術引發資安界高度關注。微軟本週表示,自 10 月 22 日以來,該組織向全球 100 多個組織的目標個人發送了數千封魚叉式網路釣魚郵件。
此次攻擊行動除了範圍廣泛外,還因午夜暴雪使用經數位簽章的遠端桌面協定 (RDP) 設定檔而引人注目。當受害者開啟附加的 RDP 檔案時,即會連線到威脅行動者控制的伺服器,使攻擊者能夠獲取使用者憑證和詳細的系統資訊,為進一步的漏洞利用鋪路。
相關文章:不是漏洞利用!美國CISA 示警駭客利用 F5 BIG-IP Cookie 進行網路偵察
微軟指出,這些魚叉式郵件的社交工程誘餌與微軟、亞馬遜網路服務 (AWS) 和零信任概念相關,針對性極強。此次行動的目標遍及數十個國家的政府機構、高等教育機構、國防單位和非政府組織,其中以英國、歐洲、澳洲和日本為主。
午夜暴雪組織行動歷史已久,受害者包括 SolarWinds、微軟、HPE、多個美國聯邦政府機構和全球外交實體等。其慣用手法包括魚叉式網路釣魚、竊取憑證和供應鏈攻擊等,並善於利用 Fortinet、Pulse Secure、Citrix 和 Zimbra 等廣泛使用的網路和協作技術中的漏洞。
專家表示,簽署的 RDP 檔案似乎來自合法來源,可繞過傳統安全控制,構成重大威脅。建
議組織即時掃描所有電子郵件附件,特別關注 RDP 檔案和其他看似合法的微軟相關內容。
微軟已發布午夜暴雪新行動的威脅指標清單,並建議資安團隊審查組織的電子郵件安全設置、防毒和反網路釣魚措施,在 Office 365 中開啟 Safe Links 和 Safe Attachments 設置,並在需要時啟用郵件隔離措施。
專家提醒,組織需嚴格控管微軟遠端桌面的使用,簽署 RDP 配置檔可能規避電子郵件安全系統的偵測與警示。面對此類攻擊,企業應強化端點安全配置、實施多重身分驗證,並使用防火牆阻止可疑的 RDP 連線,以降低潛在風險。
相關文章:微軟:「午夜暴雪」已進入內部系統及原始碼儲存庫
本文轉載自darkreading。