- Trend Micro detecta una sofisticada campaña de phishing dirigida a objetivos militares y gubernamentales
- Utiliza casi 200 servidores proxy RDP para llegar a los puntos finales
- El número total de víctimas asciende a cientos
Una amenaza persistente avanzada, conocida como Midnight. ventiscaHAS lanzó un ataque de phishing a gran escala dirigido a gobiernos, organizaciones militares e investigadores académicos de Occidente.
Los investigadores de ciberseguridad de Trend Micro revelaron que el grupo aprovechó las metodologías del equipo rojo y las herramientas de anonimización, extrayendo datos confidenciales de la infraestructura de TI del objetivo.
Los investigadores dijeron en un informe que el grupo utilizó un impostor. Protocolo de escritorio remoto (RDP) y una herramienta basada en Python llamada PyRDP. El ataque comienza con un mensaje de correo electrónico de phishing que contiene un archivo de configuración RDP malicioso. Si la víctima lo ejecuta, se conecta a un servidor RDP controlado por el atacante.
En nómina en Rusia
La campaña utilizó 34 servidores backend RDP falsificados con 193 servidores proxy para redirigir las comunicaciones de las víctimas y ocultar las actividades de los atacantes.
Una vez que la víctima se conecta, los estafadores utilizan PyRDP para interceptar la conexión, actuando como un intermediario (MitM). Luego, al obtener acceso a los puntos finales objetivo, los atacantes pueden explorar archivos, filtrar datos confidenciales y más.
Si bien el número total de víctimas en toda la campaña no está claro, Trend Micro afirma que casi 200 víctimas de alto perfil fueron atacadas en un solo día, cuando la campaña estaba en su apogeo, a finales de octubre de 2024.
Las víctimas fueron organizaciones gubernamentales y militares, centros de investigación e investigadores académicos, entidades vinculadas al gobierno ucraniano, un proveedor de servicios en la nube y entidades vinculadas al Ministerio de Asuntos Exteriores holandés.
La mayoría de ellos están ubicados en Europa, Estados Unidos, Japón, Ucrania y Australia.
Para poner las cosas en más contexto, vale la pena señalar que Midnight Blizzard también se conoce como APT29, Earth Koschchei o Cozy Bear. Es un grupo de amenaza persistente, avanzado y sofisticado patrocinado por el gobierno ruso y bajo el control directo del Servicio de Inteligencia Exterior de Rusia (SVR). Se sabe que lleva a cabo campañas de espionaje electrónico principalmente en países occidentales.
a través de pitidocomputadora