Spear phishing кампания със зловредни RDP файлове таргетира организациите в Европа

Свързаната с руските служби група Midnight Blizzard е стартирала нова spear phishing кампания срещу над 100 организации в Европа, Австралия и други региони.  

Тя е базирана на изключително целенасочени имейли и социално инженерство. Те идват от адреси на легитимни организации като Microsoft и AWS, които са били събрани по време на предишни атаки. Някои от тях са свързани със Zero-trust концепцията за киберсигурност.  

Имейлите, разкрити от Microsoft, са съдържали конфигурационен файл на Remote Desktop Protocol (RDP), подписан със сертификат LetsEncrypt. Зловредният прикачен файл съдържа няколко чувствителни настройки, които при активация водят до значително разкриване на информация.  

След като целевата система е компрометирана, тя се свързва с контролиран от нападателя сървър и картографира ресурсите на локалното устройство на таргетирания потребител. Информацията, изпратена към сървъра, може да идва от всички твърди дискове, клипборда, принтерите, свързаните периферни устройства, аудиото, както и функциите и средствата за удостоверяване на операционната система, включително смарт карти.  

За да ограничите риска да станете жертва на тази нова spear-phishing кампания: 

• използвайте Windows Firewall за ограничаване на опитите за изходяща RDP връзка към външни или обществени мрежи; 
• приложете многофакторно удостоверяване (MFA), но избягвайте методите, базирани на телефонно обаждане; 
• използвайте методи за удостоверяване, устойчиви на фишинг, като например FIDO Tokens или Microsoft Authenticator; 
• инвестирайте в усъвършенствани антифишинг решения, които наблюдават входящите имейли и посещаваните уебсайтове.