俄罗斯网络威胁：Midnight Blizzard的钓鱼攻击

关键要点

最近一个与俄罗斯国家利益相关的网络威胁团体，代号为Midnight Blizzard，正在对包括美国和欧洲在内的100多个组织的数千个目标发起网络钓鱼攻击。

根据微软威胁情报在10月29日发布的博文，自10月22日起，Midnight Blizzard已针对政府机构、学术界、国防、非政府组织及其他领域进行攻击，采用签名的远程桌面协议RDP配置文件来获取设备访问权限，这种方法在该组织中尚属首次。

微软研究人员提到：“在一些钓鱼诱饵中，攻击者试图通过冒充微软员工来增加其恶意信息的可信性。此外，攻击者还在钓鱼诱饵中提到了其他云服务提供商。”

美国和英国政府声称，Midnight Blizzard也称为APT29或Cozy Bear在俄罗斯联邦外国情报局SVR的指挥下运作。该组织的主要目标是通过专门的间谍活动收集情报，追溯至2018年初。

“这一巧妙的攻击再次强调了保持对微软远程桌面协议RDP的严格控制的必要性，”ColorTokens的场外CTO Venky Raju表示。“在RDP会话中共享设备、文件夹和剪贴板对于系统管理员和用户来说是便利的。但正如这次攻击所示，这一强大的功能也为攻击者提供了轻松访问敏感信息或在用户机器上植入恶意代码的途径。”

Ontinue的威胁响应负责人Balazs Greksza补充道，Midnight Blizzard在使用各类钓鱼和水坑攻击技巧，诱骗重要人员以收集情报方面拥有悠久的历史。Greksza表示，防御者可以在邮件网关上阻止“rdp”文件扩展名，并限制普通用户运行任何“rdp”文件，这将有效对抗这一特定威胁。

Greksza还表示，管理员可以通过禁用远程桌面服务配置中的设备和资源重定向策略，利用组策略对象GPO来加强防护。此外，通过防火墙实施网络控制可以帮助禁用进出RDP连接这在一般情况下是良好的安全做法。

Securonix的高级威胁研究员Tim Peck指出，首先，企业必须教育用户识别和报告钓鱼企图。Peck提到，对于通过电子邮件发出的任何请求，尤其是来自组织外部的请求，用户应该采取“安全优先”的态度，并在证明信息可靠之前自动不信任它。

“其次，因为RDP并不是一种新的攻击载体，组织应该限制外部RDP连接，”Peck表示。“这应该通过更新防火墙政策或直接在不需要使用它的终端上禁用它来限制仅限于必要用户。”

SlashNext Email Security的首席执行官Patrick Harr补充道，这些攻击再次强调钓鱼仍然是对组织的最大威胁。因此，企业不仅需要不断培训用户，还必须在其电子邮件、协作和消息应用中使用AI检测和钓鱼沙箱来识别恶意链接和文件。

“这些新的复杂攻击中，许多是AI生成的，能够避开当前的安全邮箱网关甚至微软Office Defender，”Harr表示。“组织能够保护自己的唯一方法是利用AI在攻击成功之前防止这些攻击。”