마이크로소프트는 경고를 발령했다 미국과 영국 당국이 이전에 러시아 정보 기관과 연결한 미드나잇 블리자드(Midnight Blizzard)라는 위협 행위자가 진행 중인 스피어 피싱 캠페인에 대해 설명합니다. 회사는 악의적인 행위자가 적어도 10월 22일부터 “고도로 표적화된 스피어 피싱 이메일”을 보내고 있다는 사실을 발견했으며 이 작전의 목표는 정보 수집이라고 믿고 있다고 밝혔습니다. 관찰 결과에 따르면 이 그룹은 다양한 분야에 연결된 개인에게 이메일을 보내왔지만 정부 및 비정부 기관, IT 서비스 제공업체, 학계 및 국방 기관을 모두 표적으로 삼는 것으로 알려져 있습니다. 또한 이 캠페인은 주로 미국과 유럽의 조직에 초점을 맞추고 있지만 호주와 일본의 개인도 대상으로 삼았습니다.
Midnight Blizzard는 이 캠페인을 위해 이미 100개가 넘는 조직에 수천 통의 스피어 피싱 이메일을 보냈으며 이러한 이메일에는 악의적인 행위자가 제어하는 서버에 연결된 서명된 원격 데스크톱 프로토콜(RDP)이 포함되어 있다고 설명했습니다. 이 그룹은 이전 활동 중에 도난당한 실제 조직에 속한 이메일 주소를 사용하여 대상이 합법적인 이메일을 열고 있다고 생각하게 했습니다. 또한 소셜 엔지니어링 기술을 사용하여 이메일이 Microsoft 또는 Amazon Web Services 직원이 보낸 것처럼 보이게 했습니다.
누군가 RDP 첨부 파일을 클릭하여 열면 Midnight Blizzard가 제어하는 서버에 연결됩니다. 그런 다음 공격자에게 대상의 파일, 컴퓨터에 연결된 모든 네트워크 드라이브 또는 주변 장치(예: 마이크 및 프린터)는 물론 패스키, 보안 키 및 기타 웹 인증 정보에 대한 액세스 권한을 부여합니다. 또한 초기 연결이 끊어진 후에도 피해자의 시스템에 남아 있는 데 사용할 수 있는 원격 액세스 트로이 목마를 포함하여 대상의 컴퓨터와 네트워크에 악성 코드를 설치할 수도 있습니다.
이 그룹은 Cozy Bear 및 APT29와 같은 다른 많은 이름으로 알려져 있지만 2020년 공격을 주도한 위협 행위자로 기억할 수도 있습니다. SolarWinds 공격전 세계 수백 개의 조직에 침투했습니다. 그것은 또한 이메일에 침입 올해 초 여러 Microsoft 고위 임원 및 기타 직원 중 통신에 액세스 중 회사와 고객 사이. Microsoft는 이 캠페인이 미국 대통령 선거와 관련이 있는지 여부는 밝히지 않았지만 잠재적인 대상에게 시스템을 보다 적극적으로 보호하라고 조언하고 있습니다.
본 글의 링크를 통해 상품을 구매하시면 커미션을 받으실 수 있습니다.
