俄羅斯情報機關有關的威脅組織「午夜暴雪」(Midnight Blizzard)使用新策略來收集資訊和控制受害者系統,於近期發動大規模網路攻擊,其攻擊範圍之廣和新穎的戰術引發高度關注。微軟(Microsoft)表示,經威脅情報小組觀察分析,自 2024年10月22日以來,「午夜暴雪」(Midnight Blizzard)攻擊者向全球 100 多個組織及個人目標發送了數千封魚叉式網路釣魚電子郵件。
大規模活動
除了攻擊範圍廣泛外,較值得關切的是「午夜暴雪」(Midnight Blizzard)在其魚叉式網路釣魚電子郵件中使用了數位簽章的遠端桌面協定 (Remote Desktop Protocol, RDP) 註1設定檔。 RDP 檔案連接到由駭客威脅行為者所控制的伺服器上,當檔案經開啟時,攻擊者可以獲得使用者憑證和詳細的系統資訊,以協助駭客進一步的利用此攻擊活動。
微軟(Microsoft)近日在其威脅情報小組表示:「這類電子郵件針對性很強,使用與微軟(Microsoft)、亞馬遜網路服務(Amazon Web Services , AWS))和零信任相關概念的社交工程誘餌」。「微軟(Microsoft)觀察到這類網路攻擊是針對數十個國家的政府機構、大學、國防和非政府組織,特別是在英國、歐洲、澳大利亞和日本等國」。
「午夜暴雪」(Midnight Blizzard)(又稱 Cozy Bear、APT29、 UNC2452)多年來一直是世界各資訊安全組織的眼中釘。該組織的眾多受害者包括SolarWinds、Microsoft)、HPE、多個美國聯邦政府機構以及世界各地的外交機構。依其證據顯示其使用的相關策略、技術和程序,包括使用魚叉式網路釣魚、竊取憑證和供應鏈攻擊等來進行初步存取。午夜暴雪 (Midnight Blizzard)攻擊者也會針對較廣泛使用的網路和其他協助工具技術(例如 Fortinet、Pulse Secure、Citrix 、 Zimbra 等工具的技術)中的漏洞進行攻擊,以便於在目標網路上獲得初步橋頭堡。
雙向連接
「午夜暴雪」(Midnight Blizzard)近期最新攻擊行動是在 Microsoft、AWS 和零信任相關的電子郵件中RDP檔案中,可讓攻擊者與受感染的裝置建立快速、雙向連線。攻擊威脅行為者使用它來獲取一系列資訊,這些資訊包括受害者系統和連接的網路磁碟機上的使用者憑證、檔案和目錄;以及來自連接的智慧卡和其他週邊設備的資訊; Web驗證憑證;和剪貼簿資料。RDF檔案是使用 LetsEncrypt 憑證註2進行簽章,以賦予其合法性。「這類存取可能使威脅行為者能夠在目標的本機磁碟機和已對應的網路共用上安裝惡意軟體,特別是在AutoStart資料夾中,或安裝遠端存取木馬(RAT) 等其他工具,以在RDP 啟動時保持存取。
SlashNext 的技術長(Chief Technology Officer, CTO )Stephen Kowski表示,午夜暴雪(Midnight Blizzard)在目前的攻擊活動中使用簽署的RDP檔案其危害嚴重。並指出,簽署的RDP文件可以繞過傳統的安全控制,因為其簽章是屬合法來源。
「這類技術特別狡猾,因為RDP檔案通常是在商業活動環境中使用,這使得不會立即引起懷疑,而合法簽章有助於逃避惡意軟體檢測系統,」,Stephen Kowski主張各機構應立即掃描所有組織內的電子郵件附件,特別是RDP文件和其他看似合法的Microsoft相關內容。「使用合法簽署的文件會對嚴重造成原依賴簽章使為檢測或信譽評等的傳統安全工具」。
降低威脅
微軟(Microsoft)公布新的午夜暴雪」(Midnight Blizzard)攻擊活動的相關關聯指標列表,包括電子郵件發送者網域、RDP檔案和RDP 遠端電腦網域。並建議資訊安全團隊儘速審查其機構內的電子郵件安全設定以及防毒系統和防範網路釣魚等相關措施;開啟Microsoft Office 365中的安全連結和安全附件設定;並在需要時開啟隔離中已發送電子郵件的相關安全措施。其他安全設定包括使用防火牆阻擋 RDP連線、實施多重身份驗證以及加強端點安全配置。
ColorTokens 的技術長(Chief Technology Officer, CTO ) Venky Raju表示,該攻擊活動提醒網路使用者為何機構內需要嚴格監控及嚴格規範使用微軟(Microsoft)遠端桌面。雖然透過RDP共用裝置、資料夾和剪貼簿內容,但也為攻擊者提供進入使用者裝置的便捷途徑。並指出「簽署RDP設定檔可能會讓電子郵件安全系統誤判電子郵件可疑連結或附件。也可讓RDP使用者端不發出相關警告。
註1: 遠端桌面協定(Remote Desktop Protocol, RDP)是一個多通道(multi-channel)的協定,讓使用者(使用者端或稱「本機電腦」)連上提供微軟終端機服務的電腦(伺服器端或稱「遠端電腦」)。大部份的Windows都有使用者端軟體。其他作業系統例如Linux、FreeBSD、Mac OS X,也有對應的使用者端軟體。伺服端電腦方面,則聽取送到TCP3389埠的資料。
註2:
免費的SSL/TLS 憑證,Let's Encrypt 是免費、自動化和開放的憑證頒發機構,由非營利組織網路安全研究小組(Internet Security Research Group, ISRG) 營運。