Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Luca Galuppi : 1 Novembre 2024 09:18
L’attacco di phishing recentemente denominato Massive Midnight Blizzard rivela una campagna di cyber-spionaggio estremamente sofisticata, orchestrata dal gruppo russo Midnight Blizzard (noto anche come APT29, UNC2452 o Cozy Bear). Questi attacchi, abilmente progettati per impersonare entità di fiducia, prendono di mira settori strategici come agenzie governative, istituzioni accademiche, organizzazioni di difesa e ONG, inducendo le vittime a divulgare informazioni sensibili attraverso file di configurazione RDP.
Il 22 ottobre 2024, i ricercatori di Microsoft Threat Intelligence hanno scoperto una campagna di phishing devastante, che sfrutta e-mail di spear-phishing con file .RDP malevoli. Basta un clic su questi file per connettere le vittime direttamente ai server degli attaccanti, spalancando la porta a un’intrusione estremamente precisa e mirata. Sfruttando un’identità fittizia da dipendenti Microsoft, gli hacker hanno abilmente manipolato la fiducia di fornitori dei servizi cloud per infiltrarsi nelle reti aziendali. Hanno quindi impiegato malware avanzati, come FOGGYWEB e MAGICWEB, per sferrare attacchi mirati e implacabili contro i sistemi di autenticazione AD FS (Active Directory Federation Services).
Con una strategia di compromissione delle credenziali legittime attraverso catene di fornitura e movimenti laterali tra reti on-premises e ambienti cloud, il gruppo è riuscito a violare oltre 100 organizzazioni, colpendo migliaia di utenti negli Stati Uniti e in Europa. Anche CERT-UA e Amazon hanno confermato la campagna, denominata UAC-0215, che rappresenta un’evoluzione nella capacità di intelligence di questo gruppo, in attività dal 2018.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
I file RDP firmati e configurati in modo fraudolento permettono la mappatura bidirezionale di risorse locali, inclusi dischi rigidi, contenuti della clipboard, periferiche, sistemi audio e credenziali Windows (smart card e Windows Hello). Questo accesso permette ai malintenzionati di installare malware, trojan di accesso remoto (RAT) e mantenere il controllo del sistema anche dopo la chiusura delle sessioni RDP.
Questi file vengono inviati tramite e-mail, spesso da indirizzi compromessi, con soggetti come “Microsoft”, “AWS” e “Zero Trust security concepts” per aumentare la credibilità agli occhi delle vittime, soprattutto nel Regno Unito, Europa, Australia e Giappone. La configurazione delle connessioni RDP consente agli attaccanti di accedere a componenti di sistema sensibili come dischi di rete, dispositivi POS e meccanismi di autenticazione web basati su passkey e chiavi di sicurezza.
Microsoft ha rilasciato una serie di indicatori di compromissione relativi alla nuova campagna Midnight Blizzard, tra cui domini email, file RDP e domini remoti RDP associati all’attacco. Ha raccomandato di rivedere le impostazioni di sicurezza email e le misure anti-phishing e antivirus della propria organizzazione. È suggerito inoltre di attivare le impostazioni Safe Links e Safe Attachments su Microsoft 365 e di abilitare opzioni di quarantena per le email inviate, se necessario. Tra le altre misure consigliate troviamo l’uso di Firewall per bloccare le connessioni RDP, l’implementazione dell’autenticazione a più fattori (MFA) e il rafforzamento della sicurezza degli endpoint.
Il Massive Midnight Blizzard rappresenta una minaccia senza precedenti, sia per la sua complessità tecnica sia per la capacità di persistere nelle reti compromesse con impatti a lungo termine. Questa campagna non solo sfrutta metodi di attacco estremamente avanzati, ma è anche progettata per colpire più componenti di rete e mantenere un accesso persistente, anche dopo le sessioni RDP terminate. La combinazione di tecniche come la compromissione di credenziali legittime, il movimento laterale tra reti on-premises e cloud, e l’uso di malware sofisticati per eludere i controlli di sicurezza sottolinea l’evoluzione continua delle minacce.
Mai come ora, l’adozione di misure di sicurezza proattive e una preparazione costante risultano essenziali per difendersi da attacchi così insidiosi. Le organizzazioni devono investire nella formazione degli utenti, nell’implementazione di protocolli di autenticazione robusti e nel monitoraggio continuo delle loro infrastrutture. Il Massive Midnight Blizzard è un monito per tutti: la minaccia informatica è in costante evoluzione, e solo una vigilanza attiva può contenere i danni di campagne sempre più sofisticate.
Luca GaluppiUna nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
