Microsoft ha advertido sobre una campaña de robo de información en curso del notorio grupo ruso APT Midnight Blizzard (también conocido como APT29, CozyBear) en la que miles de objetivos recibieron correos electrónicos de phishing. Más de 100 organizaciones gubernamentales, académicas, de defensa, organizaciones no gubernamentales (ONG) y otros sectores se han visto afectadas hasta ahora por este ejercicio de recopilación de inteligencia respaldado por el Estado, afirmó Redmond ayer en una publicación de blog. Inusualmente, los propios correos electrónicos (que se hacen pasar por empleados de Microsoft y otros proveedores de la nube) contienen un archivo de configuración RDP firmado que se conecta a un servidor de un actor de amenazas. “En esta campaña, el archivo adjunto malicioso .RDP contenía varias configuraciones confidenciales que provocarían una exposición significativa de la información. Una vez que el sistema objetivo se vio comprometido, se conectó al servidor controlado por el actor y mapeó bidireccionalmente los recursos del dispositivo local del usuario objetivo al servidor”, explicó Microsoft. “Los recursos enviados al servidor pueden incluir, entre otros, todos los discos duros lógicos, contenidos del portapapeles, impresoras, dispositivos periféricos conectados, audio y funciones e instalaciones de autenticación del sistema operativo Windows, incluidas las tarjetas inteligentes. Este acceso podría permitir al actor de la amenaza instalar malware en las unidades locales del objetivo y en los recursos compartidos de red asignados, particularmente en las carpetas de inicio automático, o instalar herramientas adicionales como troyanos de acceso remoto (RAT) para mantener el acceso cuando la sesión RDP está cerrado.” Lea más sobre APT29: El APT29 de Rusia apunta a embajadas con Ngrok y WinRAR. Al establecer una conexión RDP con el servidor controlado por el actor, las víctimas también pueden exponer sus propias credenciales, advirtió el informe. Aunque se han descubierto objetivos en docenas de países, los del Reino Unido, Europa, Australia y Japón están particularmente en riesgo, dijo Microsoft. También existe una superposición de tácticas vistas y reportadas por Amazon y el CERT ucraniano bajo la designación UAC-0215. Microsoft describió una larga lista de mitigaciones enfocadas en fortalecer: Configuraciones del entorno operativo Configuraciones de seguridad de endpoints Configuraciones de antivirus Configuraciones de Microsoft Office 365 Configuraciones de seguridad de correo electrónico Educación del usuario
Leave a Reply