Les services de renseignement étrangers russes, connus sous le nom de SVR, sont accusés d’avoir exécuté une vaste campagne de hameçonnage qui est active depuis deux semaines maintenant. Révélée dans un récent rapport de Microsoft, les cyber-espions ont principalement ciblé les gouvernements, les organisations de défense, les organisations non gouvernementales et les institutions académiques avec leurs tentatives de hameçonnage sophistiquées. On pense que le groupe de cyber-espionnage, surnommé Midnight Blizzard, est responsable de ces cyber-attaques.
Révélées pour la première fois le 22 octobre, ces attaques ne sont pas typiques de Midnight Blizzard, également appelé APT29 ou Cozy Bear. Groupe généralement connu pour ses attaques spécifiques et ciblées, il a élargi sa portée et ciblerait désormais des milliers de personnes dans plus de 100 organisations. Un écart significatif par rapport à leur modus operandi habituel.
Un détail inattendu qui a suscité l’intérêt de l’équipe Infosec de Microsoft a été l’utilisation novatrice par les pirates de fichiers de configuration du protocole de bureau à distance (RDP) en pièces jointes dans leurs emails de hameçonnage. Midnight Blizzard n’a jamais été connu pour utiliser une telle méthode d’accès auparavant. L’exécution de ces fichiers établirait une connexion RDP à un système sous le contrôle de Midnight Blizzard. Les chercheurs de Microsoft soulignent que ces fichiers de configuration ont été conçus de manière à exposer une quantité considérable d’informations du côté des victimes.
Cette révélation souligne les tactiques évolutives et dynamiques utilisées par des acteurs de menace sophistiqués comme Midnight Blizzard. Les entités appartenant aux secteurs visés par de tels groupes doivent rester vigilants et adapter leurs mesures de sécurité en conséquence pour éviter de tomber dans le piège de ces tactiques plus intelligentes et en évolution.
