Midnight Blizzard – un groupe de cyberespionnage lié au Service russe de renseignement extérieur (SVR) – cible les travailleurs du gouvernement, du monde universitaire, de la défense et des ONG avec des e-mails de phishing contenant un fichier de configuration signé du protocole de bureau à distance (RDP).
“Sur la base de notre enquête sur les précédentes campagnes de spear-phishing de Midnight Blizzard, nous estimons que le but de cette opération est probablement la collecte de renseignements”, déclarent les analystes des menaces de Microsoft.
Blizzard de minuit
Midnight Blizzard (alias Cozy Bear, APT29 et UNC2452) a été impliqué dans un certain nombre d’attaques très médiatisées au cours de la dernière décennie :
“Midnight Blizzard est cohérent et persistant dans son ciblage opérationnel, et ses objectifs changent rarement”, note Microsoft.
« Il utilise diverses méthodes d’accès initial, notamment le spear phishing, le vol d’informations d’identification, les attaques de la chaîne d’approvisionnement, la compromission des environnements sur site pour migrer latéralement vers le cloud, et l’exploitation de la chaîne de confiance des fournisseurs de services pour accéder aux clients en aval. Midnight Blizzard est connu pour utiliser le malware Active Directory Federation Service (AD FS) connu sous le nom de FoggyWeb et MagicWeb.
La campagne de spear phishing
Les tactiques de spear phishing du groupe évoluent constamment. L’année dernière, par exemple, des personnes ont été repérées en train de tenter d’hameçonner des employés du gouvernement via Microsoft Teams.
Dans cette dernière campagne, toujours en cours, Midnight Blizzard tente d’inciter les cibles à télécharger et à ouvrir un fichier de configuration RDP (.rdp).
Les e-mails sont envoyés à partir d’adresses e-mail légitimes qui ont été compromises lors d’attaques précédentes. Les milliers de destinataires ciblés sont des employés d’agences gouvernementales, d’enseignement supérieur, de défense et d’organisations non gouvernementales dans des dizaines de pays, dont le Royaume-Uni, l’Europe, l’Australie et le Japon.
Comme l’a récemment averti l’équipe ukrainienne du CERT, l’exécution du fichier malveillant établira une connexion RDP sortante avec le serveur des attaquants, permettant au serveur d’accéder aux disques, aux ressources réseau, aux imprimantes, aux ports COM, aux périphériques audio, au presse-papiers et à d’autres ressources (y compris les informations d’identification). ) sur l’ordinateur des cibles, ainsi que de mettre en place les prérequis techniques pour exécuter des programmes ou des scripts tiers.
Les invites affichées lors de l’exécution du fichier malicios (Source : Microsoft)
« Les e-mails étaient très ciblés, utilisant des leurres d’ingénierie sociale liés à Microsoft, Amazon Web Services (AWS) et au concept Zero Trust », explique Microsoft.
Amazon a expliqué que certains des noms de domaine utilisés avaient tenté de faire croire aux cibles qu’il s’agissait de domaines AWS et que l’entreprise avait lancé le processus de saisie.
CERT-UA a conseillé de bloquer les fichiers RDP sur la passerelle de messagerie, d’empêcher les utilisateurs d’exécuter des fichiers RDP (avec exceptions) et de configurer le pare-feu pour limiter la possibilité d’établir des connexions RDP par le mstsc.exe programme vers des ressources sur Internet.
Microsoft a fourni des indicateurs de compromission liés à cette campagne, ainsi que des mesures d’atténuation et de recherche de requêtes.