趨勢科技最新研究報告揭露,俄羅斯駭客組織「午夜暴雪」(Midnight Blizzard)正進行一場規模超乎預期的網路間諜行動,鎖定國際政府、軍事及學術機構為攻擊目標。
根據報告指出,在攻擊高峰期的十月份,該組織每日發動多達200起網路攻擊。
攻擊手法主要透過釣魚郵件,夾帶惡意的遠端桌面協定(RDP)檔案,並結合紅隊測試工具,藉此竊取資料或植入惡意程式。研究人員表示,這樣的攻擊規模相當於其他同級別駭客組織如「Pawn Storm」在數週內的攻擊總量。
相關文章:「午夜暴雪」發動大規模網攻,微軟:受害者遍及全球
趨勢科技發現,午夜暴雪在今年八月開始布局,建立超過200個域名和34個後端RDP伺服器作為攻擊基礎設施。這些域名的命名顯示,攻擊目標包括美國、歐洲、日本、澳洲和烏克蘭的政府外交部門、學術研究人員和軍事單位。
在攻擊過程中,
駭客利用開源工具PyRDP作為中間人代理,將受害者系統的連線請求重導向攻擊者控制的域名和伺服器。研究人員解釋:「這種『惡意RDP』攻擊技術涉及RDP中繼、惡意RDP伺服器和惡意RDP設定檔,一旦受害者中招,攻擊者將可部分控制其機器,導致資料外洩和惡意程式植入的風險。」
午夜暴雪被美國政府認定為俄羅斯外國情報局的關聯組織,曾參與多起重大資安事件,包括入侵微軟、SolarWinds、惠普企業和多個美國聯邦政府機構。該組織慣用精心設計的魚叉式釣魚郵件、竊取的認證資料和供應鏈攻擊來獲取初始存取權限。
相關文章:微軟:「午夜暴雪」已進入內部系統及原始碼儲存庫
趨勢科技建議,組織應立即阻擋對外的RDP連線請求,並在電子郵件系統中封鎖RDP設定檔,以防範此類攻擊。研究人員特別指出,由於攻擊者使用合法的滲透測試和紅隊工具,加上採用代理服務、Tor和VPN等匿名化技術,使得這類攻擊更難被一般端點安全控制發現。
本文轉載自darkreading。