Microsoft Threat Intelligence imegundua kampeni mpya ya mashambulizi ya mwigizaji tishio wa Urusi Midnight Blizzard, inayolenga maelfu ya watumiaji katika zaidi ya mashirika 100. Shambulio hilo huongeza barua pepe za wizi wa data binafsi zilizo na faili za usanidi za RDP, kuruhusu wavamizi kuunganishwa na uwezekano wa kuhatarisha mifumo inayolengwa. Kampeni ya mashambulizi ililenga maelfu ya watumiaji katika elimu ya juu, ulinzi, mashirika yasiyo ya kiserikali na mashirika ya serikali. Nchi nyingi zimeathiriwa, haswa nchini Uingereza, Ulaya, Australia na Japani, ambayo inaambatana na kampeni za hapo awali za ulaghai wa Midnight Blizzard. Barua pepe za hadaa zilikuwa na faili ya usanidi ya RDP Katika kampeni ya hivi punde ya shambulio la Midnight Blizzard, wahasiriwa walipokea barua pepe zilizolengwa sana ambazo zilitumia vivutio vya uhandisi wa kijamii vinavyohusiana na Microsoft, Amazon Web Services, na dhana ya Zero Trust. Kulingana na Microsoft Threat Intelligence, barua pepe hizo zilitumwa kwa kutumia anwani za barua pepe za mashirika halali, zilizokusanywa na mwigizaji tishio wakati wa maelewano ya hapo awali. Barua pepe zote zilikuwa na faili ya usanidi ya RDP, iliyotiwa saini na cheti cha bure cha LetsEncrypt, ambacho kilijumuisha mipangilio kadhaa nyeti. Mtumiaji alipofungua faili, muunganisho wa RDP utaanzishwa kwa mfumo unaodhibitiwa na mshambulizi. Usanidi wa muunganisho ulioidhinishwa wa RDP basi utamruhusu mhusika tishio kukusanya taarifa kuhusu mfumo unaolengwa, kama vile faili na folda, hifadhi za mtandao zilizounganishwa, vifaa vya pembeni ikiwa ni pamoja na vichapishaji, maikrofoni na kadi mahiri. Pia ingewezesha ukusanyaji wa data ya ubao wa kunakili, uthibitishaji wa wavuti kwa kutumia Windows Hello, funguo za siri na funguo za usalama, na hata vifaa vya Point-of-Sale. Muunganisho kama huo unaweza pia kuruhusu mhusika tishio kusakinisha programu hasidi kwenye mfumo unaolengwa au kwenye kushiriki mtandao uliopangwa. Muunganisho mbaya wa mbali. Picha: Microsoft Miunganisho ya nje ya RDP ilianzishwa kwa vikoa vilivyoundwa ili kuwahadaa walengwa kuamini kuwa vikoa vya AWS. Amazon, ikifanya kazi na CERT-UA ya Kiukreni katika kupambana na tishio, mara moja ilianzisha mchakato wa kukamata maeneo yaliyoathiriwa ili kuvuruga operesheni. Wakati huo huo, Microsoft iliarifu moja kwa moja wateja walioathiriwa ambao wamelengwa au kuathiriwa. Chanjo ya usalama lazima isomeke Usiku wa manane Blizzard imelenga sekta mbalimbali katika miaka ya hivi karibuni Kulingana na ushauri wa pamoja wa usalama wa mtandao, Midnight Blizzard, pamoja na watendaji tishio APT29, Cozy Bear, na Dukes, wanahusishwa na Huduma ya Ujasusi ya Kigeni ya Shirikisho la Urusi. Tangu angalau 2021, Midnight Blizzard imelenga mara kwa mara mashirika ya Marekani, Ulaya, na kimataifa katika sekta ya Ulinzi, Teknolojia na Fedha, ikifuatilia madhumuni ya ujasusi kwenye mtandao na kuwezesha shughuli zaidi za mtandao, ikiwa ni pamoja na kuunga mkono uvamizi unaoendelea wa Urusi nchini Ukraine. TAZAMA: Jinsi ya Kuunda Mpango Ufanisi wa Uelewa wa Usalama wa Mtandao (TechRepublic Premium) Mnamo Januari 2024, kikundi kililenga Microsoft na Hewlett Packard Enterprise, kupata ufikiaji wa masanduku ya barua pepe ya wafanyikazi kadhaa. Kufuatia tukio hilo, Microsoft ilisema kwamba wahalifu hao wa mtandao walikuwa wakilenga akaunti za barua pepe kwa taarifa zinazohusiana na Midnight Blizzard yenyewe. Kisha, mnamo Machi 2024, mwigizaji tishio aliripotiwa kurekebisha mbinu zake ili kulenga mazingira zaidi ya wingu. Kulingana na Microsoft, Midnight Blizzard ni mmoja wa wavamizi wa mtandaoni. Kama ripoti tofauti ya Microsoft ilivyobainishwa, kikundi hapo awali kilikuwa kimezima suluhu za shirika la Utambuzi na Majibu baada ya kuwasha upya mfumo. Kisha walingoja kimya kwa mwezi mmoja kwa kompyuta kuanza upya na kuchukua fursa ya kompyuta zilizo hatarini ambazo hazikuwa na viraka. Muigizaji tishio pia ni wa kiufundi sana, kwani imeonekana kupeleka MagicWeb, DLL hasidi iliyowekwa kwenye saraka Inayotumika seva za Huduma Zilizoshirikishwa ili kukaa thabiti na kuiba habari. Zana pia huruhusu Blizzard ya Usiku wa manane kutoa tokeni zinazoiruhusu kukwepa sera za AD FS na kuingia kama mtumiaji yeyote. Jinsi ya kulinda dhidi ya Mvua ya Usiku wa manane Hatua kadhaa zinaweza kuchukuliwa ili kulinda dhidi ya tishio hili: Miunganisho ya nje ya RDP kwa mitandao ya nje au ya umma inapaswa kupigwa marufuku au kuzuiwa. Faili za RDP zinapaswa kuzuiwa kutoka kwa wateja wa barua pepe au barua pepe ya wavuti. Faili za RDP zinapaswa kuzuiwa kutekelezwa na watumiaji. Uthibitishaji wa vipengele vingi lazima uwezeshwe inapowezekana. Mbinu za uthibitishaji zinazohimili hadaa zinapaswa kutumwa, kama vile kutumia tokeni za FIDO. MFA inayotokana na SMS isitumike, kwani inaweza kuepukwa na mashambulizi ya udukuzi wa SIM. Ni lazima Nguvu ya Uthibitishaji wa Ufikiaji wa Masharti itekelezwe ili kuhitaji uthibitishaji unaokinza hadaa. Zaidi ya hayo, Utambuzi na Mwitikio wa Mwisho (EDR) lazima utumike ili kugundua na kuzuia shughuli zinazotiliwa shaka. Mashirika yanapaswa pia kuzingatia kupeleka suluhu za kuzuia kuhadaa ili kusaidia kugundua na kuzuia tishio. Ufichuzi: Ninafanyia kazi Trend Micro, lakini maoni yaliyotolewa katika makala haya ni yangu.