Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Misteriosi APT nell'ombra digitale: Un'immersione profonda nelle minacce cibernetiche altamente sofisticate. Scopri chi sono, cosa li muove e come proteggerti in questo viaggio attraverso il mondo delle Advanced Persistent Threat (APT)

Massive Midnight Blizzard: La Campagna di Phishing con RDP per Colpire Settori Critici

Luca Galuppi : 1 Novembre 2024 09:18

L’attacco di phishing recentemente denominato Massive Midnight Blizzard rivela una campagna di cyber-spionaggio estremamente sofisticata, orchestrata dal gruppo russo Midnight Blizzard (noto anche come APT29, UNC2452 o Cozy Bear). Questi attacchi, abilmente progettati per impersonare entità di fiducia, prendono di mira settori strategici come agenzie governative, istituzioni accademiche, organizzazioni di difesa e ONG, inducendo le vittime a divulgare informazioni sensibili attraverso file di configurazione RDP.

Il 22 ottobre 2024, i ricercatori di Microsoft Threat Intelligence hanno scoperto una campagna di phishing devastante, che sfrutta e-mail di spear-phishing con file .RDP malevoli. Basta un clic su questi file per connettere le vittime direttamente ai server degli attaccanti, spalancando la porta a un’intrusione estremamente precisa e mirata. Sfruttando un’identità fittizia da dipendenti Microsoft, gli hacker hanno abilmente manipolato la fiducia di fornitori dei servizi cloud per infiltrarsi nelle reti aziendali. Hanno quindi impiegato malware avanzati, come FOGGYWEB e MAGICWEB, per sferrare attacchi mirati e implacabili contro i sistemi di autenticazione AD FS (Active Directory Federation Services).

Con una strategia di compromissione delle credenziali legittime attraverso catene di fornitura e movimenti laterali tra reti on-premises e ambienti cloud, il gruppo è riuscito a violare oltre 100 organizzazioni, colpendo migliaia di utenti negli Stati Uniti e in Europa. Anche CERT-UA e Amazon hanno confermato la campagna, denominata UAC-0215, che rappresenta un’evoluzione nella capacità di intelligence di questo gruppo, in attività dal 2018.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]




Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


I file RDP firmati e configurati in modo fraudolento permettono la mappatura bidirezionale di risorse locali, inclusi dischi rigidi, contenuti della clipboard, periferiche, sistemi audio e credenziali Windows (smart card e Windows Hello). Questo accesso permette ai malintenzionati di installare malware, trojan di accesso remoto (RAT) e mantenere il controllo del sistema anche dopo la chiusura delle sessioni RDP.

Questi file vengono inviati tramite e-mail, spesso da indirizzi compromessi, con soggetti come “Microsoft”, “AWS” e “Zero Trust security concepts” per aumentare la credibilità agli occhi delle vittime, soprattutto nel Regno Unito, Europa, Australia e Giappone. La configurazione delle connessioni RDP consente agli attaccanti di accedere a componenti di sistema sensibili come dischi di rete, dispositivi POS e meccanismi di autenticazione web basati su passkey e chiavi di sicurezza.

Mitigazione della minaccia

Microsoft ha rilasciato una serie di indicatori di compromissione relativi alla nuova campagna Midnight Blizzard, tra cui domini email, file RDP e domini remoti RDP associati all’attacco. Ha raccomandato di rivedere le impostazioni di sicurezza email e le misure anti-phishing e antivirus della propria organizzazione. È suggerito inoltre di attivare le impostazioni Safe Links e Safe Attachments su Microsoft 365 e di abilitare opzioni di quarantena per le email inviate, se necessario. Tra le altre misure consigliate troviamo l’uso di Firewall per bloccare le connessioni RDP, l’implementazione dell’autenticazione a più fattori (MFA) e il rafforzamento della sicurezza degli endpoint.

Conclusione

Il Massive Midnight Blizzard rappresenta una minaccia senza precedenti, sia per la sua complessità tecnica sia per la capacità di persistere nelle reti compromesse con impatti a lungo termine. Questa campagna non solo sfrutta metodi di attacco estremamente avanzati, ma è anche progettata per colpire più componenti di rete e mantenere un accesso persistente, anche dopo le sessioni RDP terminate. La combinazione di tecniche come la compromissione di credenziali legittime, il movimento laterale tra reti on-premises e cloud, e l’uso di malware sofisticati per eludere i controlli di sicurezza sottolinea l’evoluzione continua delle minacce.

Mai come ora, l’adozione di misure di sicurezza proattive e una preparazione costante risultano essenziali per difendersi da attacchi così insidiosi. Le organizzazioni devono investire nella formazione degli utenti, nell’implementazione di protocolli di autenticazione robusti e nel monitoraggio continuo delle loro infrastrutture. Il Massive Midnight Blizzard è un monito per tutti: la minaccia informatica è in costante evoluzione, e solo una vigilanza attiva può contenere i danni di campagne sempre più sofisticate.

Luca Galuppi
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

38 milioni di Numeri di telefono di Italiani in vendita nel Dark Web. E’ che Smishing Sia!
Di Redazione RHC - 06/09/2025

Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...

16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari
Di Redazione RHC - 05/09/2025

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...

Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
Di Redazione RHC - 04/09/2025

Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...