L’attacco di phishing recentemente denominato Massive Midnight Blizzard rivela una campagna di cyber-spionaggio estremamente sofisticata, orchestrata dal gruppo russo Midnight Blizzard (noto anche come APT29, UNC2452 o Cozy Bear). Questi attacchi, abilmente progettati per impersonare entità di fiducia, prendono di mira settori strategici come agenzie governative, istituzioni accademiche, organizzazioni di difesa e ONG, inducendo le vittime a divulgare informazioni sensibili attraverso file di configurazione RDP.
Il 22 ottobre 2024, i ricercatori di Microsoft Threat Intelligence hanno scoperto una campagna di phishing devastante, che sfrutta e-mail di spear-phishing con file .RDP malevoli. Basta un clic su questi file per connettere le vittime direttamente ai server degli attaccanti, spalancando la porta a un’intrusione estremamente precisa e mirata. Sfruttando un’identità fittizia da dipendenti Microsoft, gli hacker hanno abilmente manipolato la fiducia di fornitori dei servizi cloud per infiltrarsi nelle reti aziendali. Hanno quindi impiegato malware avanzati, come FOGGYWEB e MAGICWEB, per sferrare attacchi mirati e implacabili contro i sistemi di autenticazione AD FS (Active Directory Federation Services).
Con una strategia di compromissione delle credenziali legittime attraverso catene di fornitura e movimenti laterali tra reti on-premises e ambienti cloud, il gruppo è riuscito a violare oltre 100 organizzazioni, colpendo migliaia di utenti negli Stati Uniti e in Europa. Anche CERT-UA e Amazon hanno confermato la campagna, denominata UAC-0215, che rappresenta un’evoluzione nella capacità di intelligence di questo gruppo, in attività dal 2018.
I file RDP firmati e configurati in modo fraudolento permettono la mappatura bidirezionale di risorse locali, inclusi dischi rigidi, contenuti della clipboard, periferiche, sistemi audio e credenziali Windows (smart card e Windows Hello). Questo accesso permette ai malintenzionati di installare malware, trojan di accesso remoto (RAT) e mantenere il controllo del sistema anche dopo la chiusura delle sessioni RDP.
Questi file vengono inviati tramite e-mail, spesso da indirizzi compromessi, con soggetti come “Microsoft”, “AWS” e “Zero Trust security concepts” per aumentare la credibilità agli occhi delle vittime, soprattutto nel Regno Unito, Europa, Australia e Giappone. La configurazione delle connessioni RDP consente agli attaccanti di accedere a componenti di sistema sensibili come dischi di rete, dispositivi POS e meccanismi di autenticazione web basati su passkey e chiavi di sicurezza.
Microsoft ha rilasciato una serie di indicatori di compromissione relativi alla nuova campagna Midnight Blizzard, tra cui domini email, file RDP e domini remoti RDP associati all’attacco. Ha raccomandato di rivedere le impostazioni di sicurezza email e le misure anti-phishing e antivirus della propria organizzazione. È suggerito inoltre di attivare le impostazioni Safe Links e Safe Attachments su Microsoft 365 e di abilitare opzioni di quarantena per le email inviate, se necessario. Tra le altre misure consigliate troviamo l’uso di Firewall per bloccare le connessioni RDP, l’implementazione dell’autenticazione a più fattori (MFA) e il rafforzamento della sicurezza degli endpoint.
Il Massive Midnight Blizzard rappresenta una minaccia senza precedenti, sia per la sua complessità tecnica sia per la capacità di persistere nelle reti compromesse con impatti a lungo termine. Questa campagna non solo sfrutta metodi di attacco estremamente avanzati, ma è anche progettata per colpire più componenti di rete e mantenere un accesso persistente, anche dopo le sessioni RDP terminate. La combinazione di tecniche come la compromissione di credenziali legittime, il movimento laterale tra reti on-premises e cloud, e l’uso di malware sofisticati per eludere i controlli di sicurezza sottolinea l’evoluzione continua delle minacce.
Mai come ora, l’adozione di misure di sicurezza proattive e una preparazione costante risultano essenziali per difendersi da attacchi così insidiosi. Le organizzazioni devono investire nella formazione degli utenti, nell’implementazione di protocolli di autenticazione robusti e nel monitoraggio continuo delle loro infrastrutture. Il Massive Midnight Blizzard è un monito per tutti: la minaccia informatica è in costante evoluzione, e solo una vigilanza attiva può contenere i danni di campagne sempre più sofisticate.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
