Microsoft har udsendt en advarsel om en igangværende spear-phishing-kampagne udført af en atør kaldet Midnight Blizzard, som amerikanske og britiske myndigheder tidligere har knyttet til Ruslands efterretningstjeneste.
Virksomheden oplyser, at den har opdaget, at aktøren har sendt 'meget målrettede spear-phishing e-mails' siden den 22. oktober og vurderer, at målet med operationen er at indsamle efterretninger. Det skriver Engadget.
Ifølge Microsofts observationer har gruppen sendt e-mails til personer tilknyttet forskellige sektorer, og de er kendt for at målrette både offentlige og private organisationer, it-serviceudbydere, akademiske institutioner og forsvarssektoren.
Mens de primært fokuserer på organisationer i USA og Europa, har denne kampagne også rettet sig mod personer og virksomheder i både Australien og Japan.
Midnight Blizzard har allerede sendt tusindvis af e-mails til over 100 organisationer i denne kampagne. Microsoft forklarer, at de mange e-mails indeholder en signeret Remote Desktop Protocol (RDP), der er forbundet til en server, som aktøren kontrollerer.
Gruppen har brugt e-mailadresser fra reelle organisationer, som de tidligere har stjålet, for at få modtagerne til at tro, at de åbner legitime e-mails. Derudover har de benyttet social engineering-teknikker til at få det til at se ud, som om de er blevet sendt fra medarbejdere hos Microsoft eller Amazon Web Services.
Hvis nogen klikker og åbner RDP-vedhæftningen, etableres der en forbindelse til serveren, som Midnight Blizzard kontrollerer. Dette giver aktøren adgang til målets filer, eventuelle netværksdrev eller tilsluttet udstyr som mikrofoner og printere, samt deres adgangskoder og andre autentifikationsoplysninger.
De kan også installere malware på den inficerede computer og netværk, herunder trojanere, som de kan bruge til at forblive i systemet, selv efter den oprindelige forbindelse er afbrudt.
Gruppen er kendt under mange andre navne, herunder Cozy Bear og APT29, men er mest kendt som aktøren bag SolarWinds-angrebene i 2020, hvor de infiltrerede hundredvis af organisationer verden over.
Tidligere i år brød de også ind i e-mails hos flere af Microsofts ledere og medarbejdere og fik adgang til kommunikation mellem virksomheden og dens kunder. Microsoft nævnte ikke, om denne kampagne har noget at gøre med det amerikanske præsidentvalg, men råder potentielle mål til at være mere proaktive i beskyttelsen af deres systemer.