吳明宜微軟發現,近日一波大規模精準釣魚攻擊,是來自惡名昭彰的俄羅斯駭客組織 Midnight Blizzard 。
微軟研究人員指出,這波攻擊疑似意在蒐集情報,受害者涵括 100 多個組織,涵括政府、國防、學術單位、非政府組織及其他產業。
Midnight Bizzard 也被稱為 APT 289 、 Cozy Bear 、 the Dukes 和 Yttrium,經常攻擊歐美國家的政府和企業,微軟也曾是受害者,像是今年一月微軟承認遭到俄羅斯駭客組織 Midnight Blizzard 入侵網路,存取該公司高階主管的電子郵件帳號,並取得客戶資訊及微軟部份程式碼,後來陸續傳出有客戶的帳號被入侵,包括美國和英國政府。
微軟最近發現 Midnight Blizzard 又再度活動,鎖定英國和其他歐洲國家,以及日本、澳洲,而且現在仍在進行中。微軟也公佈入侵指標 (indicator of compromise, IoC) 以協助企業及政府單位偵測攻擊活動。
這波攻擊其中最值得注意的新技倆是,它會寄發精準釣魚信件,有時還冒充微軟員工。郵件包含經過簽發的 RDP 配置檔,一經執行可連結攻擊者控制的伺服器。這個 RDP 檔內有自動設定,使本機系統的功能和資源被映射到攻擊者伺服器,進而讓敏感資訊外洩。
微軟指出,本機上可能洩露的資訊包括整台邏輯硬碟、剪貼簿、印表機、週邊裝置、聲音檔、 Windows 驗證功能,像是智慧卡資訊。
駭客取得的資訊能讓攻擊者得以在目標系統本機磁碟及映射的網路磁碟,尤其是在自動啟動 (AutoStart) 資料夾中安裝惡意程式,如遠端存取木馬 (RAT) 建立長期滲透管道,以便在 RDP 會話結束後持續存取。
雲端業者 AWS 最近也公佈本攻擊的研究。 AWS 並取締了攻擊者用以攻擊的網域。
來源:SecurityWeek