Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Luca Galuppi : 1 Novembre 2024 09:18
L’attacco di phishing recentemente denominato Massive Midnight Blizzard rivela una campagna di cyber-spionaggio estremamente sofisticata, orchestrata dal gruppo russo Midnight Blizzard (noto anche come APT29, UNC2452 o Cozy Bear). Questi attacchi, abilmente progettati per impersonare entità di fiducia, prendono di mira settori strategici come agenzie governative, istituzioni accademiche, organizzazioni di difesa e ONG, inducendo le vittime a divulgare informazioni sensibili attraverso file di configurazione RDP.
Il 22 ottobre 2024, i ricercatori di Microsoft Threat Intelligence hanno scoperto una campagna di phishing devastante, che sfrutta e-mail di spear-phishing con file .RDP malevoli. Basta un clic su questi file per connettere le vittime direttamente ai server degli attaccanti, spalancando la porta a un’intrusione estremamente precisa e mirata. Sfruttando un’identità fittizia da dipendenti Microsoft, gli hacker hanno abilmente manipolato la fiducia di fornitori dei servizi cloud per infiltrarsi nelle reti aziendali. Hanno quindi impiegato malware avanzati, come FOGGYWEB e MAGICWEB, per sferrare attacchi mirati e implacabili contro i sistemi di autenticazione AD FS (Active Directory Federation Services).
Con una strategia di compromissione delle credenziali legittime attraverso catene di fornitura e movimenti laterali tra reti on-premises e ambienti cloud, il gruppo è riuscito a violare oltre 100 organizzazioni, colpendo migliaia di utenti negli Stati Uniti e in Europa. Anche CERT-UA e Amazon hanno confermato la campagna, denominata UAC-0215, che rappresenta un’evoluzione nella capacità di intelligence di questo gruppo, in attività dal 2018.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I file RDP firmati e configurati in modo fraudolento permettono la mappatura bidirezionale di risorse locali, inclusi dischi rigidi, contenuti della clipboard, periferiche, sistemi audio e credenziali Windows (smart card e Windows Hello). Questo accesso permette ai malintenzionati di installare malware, trojan di accesso remoto (RAT) e mantenere il controllo del sistema anche dopo la chiusura delle sessioni RDP.
Questi file vengono inviati tramite e-mail, spesso da indirizzi compromessi, con soggetti come “Microsoft”, “AWS” e “Zero Trust security concepts” per aumentare la credibilità agli occhi delle vittime, soprattutto nel Regno Unito, Europa, Australia e Giappone. La configurazione delle connessioni RDP consente agli attaccanti di accedere a componenti di sistema sensibili come dischi di rete, dispositivi POS e meccanismi di autenticazione web basati su passkey e chiavi di sicurezza.
Microsoft ha rilasciato una serie di indicatori di compromissione relativi alla nuova campagna Midnight Blizzard, tra cui domini email, file RDP e domini remoti RDP associati all’attacco. Ha raccomandato di rivedere le impostazioni di sicurezza email e le misure anti-phishing e antivirus della propria organizzazione. È suggerito inoltre di attivare le impostazioni Safe Links e Safe Attachments su Microsoft 365 e di abilitare opzioni di quarantena per le email inviate, se necessario. Tra le altre misure consigliate troviamo l’uso di Firewall per bloccare le connessioni RDP, l’implementazione dell’autenticazione a più fattori (MFA) e il rafforzamento della sicurezza degli endpoint.
Il Massive Midnight Blizzard rappresenta una minaccia senza precedenti, sia per la sua complessità tecnica sia per la capacità di persistere nelle reti compromesse con impatti a lungo termine. Questa campagna non solo sfrutta metodi di attacco estremamente avanzati, ma è anche progettata per colpire più componenti di rete e mantenere un accesso persistente, anche dopo le sessioni RDP terminate. La combinazione di tecniche come la compromissione di credenziali legittime, il movimento laterale tra reti on-premises e cloud, e l’uso di malware sofisticati per eludere i controlli di sicurezza sottolinea l’evoluzione continua delle minacce.
Mai come ora, l’adozione di misure di sicurezza proattive e una preparazione costante risultano essenziali per difendersi da attacchi così insidiosi. Le organizzazioni devono investire nella formazione degli utenti, nell’implementazione di protocolli di autenticazione robusti e nel monitoraggio continuo delle loro infrastrutture. Il Massive Midnight Blizzard è un monito per tutti: la minaccia informatica è in costante evoluzione, e solo una vigilanza attiva può contenere i danni di campagne sempre più sofisticate.
Luca GaluppiIl Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...
Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
