Microsoft tiene emitió una advertencia sobre una campaña de phishing en curso por parte de un actor de amenazas llamado Midnight Blizzard, que las autoridades de EE. UU. y el Reino Unido vincularon anteriormente con la agencia de inteligencia de Rusia. La compañía dijo que descubrió que el mal actor ha estado enviando “correos electrónicos de phishing altamente dirigidos” desde al menos el 22 de octubre y que cree que el objetivo de la operación es recopilar inteligencia. Según sus observaciones, el grupo ha estado enviando correos electrónicos a personas vinculadas a diversos sectores, pero es conocido por apuntar tanto a organizaciones gubernamentales como no gubernamentales, proveedores de servicios de TI, academia y defensa. Además, si bien se centra principalmente en organizaciones de EE. UU. y Europa, esta campaña también se dirigió a personas de Australia y Japón.
Midnight Blizzard ya ha enviado miles de correos electrónicos de phishing a más de 100 organizaciones para esta campaña, dijo Microsoft, explicando que esos correos electrónicos contienen un Protocolo de Escritorio Remoto (RDP) firmado y conectado a un servidor que controla el mal actor. El grupo utilizó direcciones de correo electrónico pertenecientes a organizaciones reales robadas durante sus actividades anteriores, lo que hizo que los objetivos pensaran que estaban abriendo correos electrónicos legítimos. También utilizó técnicas de ingeniería social para que pareciera que los correos electrónicos fueron enviados por empleados de Microsoft o Amazon Web Services.
Si alguien hace clic y abre el archivo adjunto RDP, se establece una conexión con el servidor que controla Midnight Blizzard. Luego le da al malhechor acceso a los archivos del objetivo, a cualquier unidad de red o periférico (como micrófonos e impresoras) conectados a su computadora, así como a sus claves de acceso, claves de seguridad y otra información de autenticación web. También podría instalar malware en la computadora y la red del objetivo, incluidos troyanos de acceso remoto que podría usar para permanecer en el sistema de la víctima incluso después de que se haya cortado la conexión inicial.
El grupo es conocido por muchos otros nombres, como Cozy Bear y APT29, pero quizás lo recuerdes como el actor de amenazas detrás de los ataques de SolarWinds de 2020, en los que logró infiltrarse en cientos de organizaciones en todo el mundo. También irrumpió en los correos electrónicos de varios altos ejecutivos de Microsoft y otros empleados a principios de este año, accediendo a la comunicación entre la empresa y sus clientes. Microsoft no dijo si esta campaña tiene algo que ver con las elecciones presidenciales de EE. UU., pero aconseja a los objetivos potenciales que sean más proactivos en la protección de sus sistemas.
Si compra algo a través de un enlace de este artículo, es posible que ganemos una comisión.
