Het vizier blijft gericht op de Russische staatshackers van Midnight Blizzard. De groep is dan ook aardig actief de laatste tijd. Deze keer waarschuwt Microsoft voor een agressieve phishingcampagne die vermoedelijk door dezelfde club is georkestreerd. Deze maakt gebruik van RDP-configuratiebestanden (Remote Desktop Protocol) in mailtjes richting overheden, onderwijsinstellingen, NGO’s en defensie-onderdelen in Europa.
De aanval zou ruim een week bezig zijn, sinds 22 oktober. Het gaat om een spear-phishing-campagne, waarbij beoogde slachtoffers een zeer overtuigend bericht krijgen met details over hun accounts, het bedrijf waar ze werken of persoonlijke informatie. Met andere woorden: door dergelijke details toe te voegen lijkt de mail legitiem. Social engineering, heet dat ook wel.
Grootschalige, gerichte actie
De mails van Midnight Blizzard bevatten een RDP-bestand dat is ondertekend met een certificaat van autenticator LetsEncrypt, om het doelwit ertoe aan te zetten het bestand te openen. Daarmee wordt de computer van de gebruiker verbonden met een server die onder controle staat van de aanvallers. Die kunnen vervolgens naar hartelust shoppen in lokale systeembronnen.
In de eigen berichtgeving legt Microsoft uit dat door kwaadaardige configuraties in de RDP-bestanden op te nemen, de aanvallers toegang kunnen krijgen tot bestanden, klembordinhoud, schijven, printers en zelfs verificatietools als smartcards, wanneer die aanwezig zijn op het apparaat van het slachtoffer.
Volledige toegang
Dergelijke ‘bidirectionele mapping’ betekent dat alles wat toegankelijk is vanaf het lokale systeem, ook te misbruiken is door de aanvaller. Malware installeren is uiteraard mogelijk, op zowel lokale schijven als netwerkshares. Ook kunnen remote access trojans (RATs) ervoor zorgen dat de verbinding open blijft, zelfs wanneer de RDP-sessie is afgesloten. Wat bijzonder precair is, is dat bij het aangaan van de RDP-verbinding mogelijk de inloggegevens van de gebruiker in handen komen van de aanvallers.
De naam spear-phishing suggereert enigszins dat slechts enkele personen doelwit zijn (het ‘gewone’ phishing wordt doorgaans begrepen als een groot uitgeworpen net waarbij het niet uitmaakt wie erin verstrikt raakt) maar dat is niet per se zo. Eén spear-phishing-campagne kan tientallen, honderden of zoals in dit geval duizenden personen treffen. De scope is doorgaans wel kleiner dan bij reguliere phishing, die nog veel meer personen kan treffen met één en hetzelfde bericht.
Digitale spionage-eenheid
Midnight Blizzard, ook bekend als APT29 of Cozy Bear, is eigenlijk eerder een semi-informele spionage-eenheid dan een hackerscollectief. De groep is minstens sinds 2018 actief en richt zich vaak op westerse overheidsinstanties en ngo’s voor het stelen van gevoelige data. Zo wist de groep binnen te komen bij zowel Microsoft als de Amerikaanse overheid.
Ook de desinformatiecampagne gericht tegen Oekraïense rekruten waarover we gisteren schreven, komt vermoedelijk uit de koker van Midnight Blizzard. Bij die actie was het net wél breder uitgeworpen in plaats van de doorgaans meer gerichte acties van deze hackers.
Lees ook: AWS en Alphabet-onderdelen in actie tegen Russische malwarecampagne