Eine raffinierte Spear-Phishing-Kampagne mit dem Namen Midnight Blizzard hat Regierungen, Militärorganisationen und akademische Forscher im Westen ins Visier genommen. Laut Sicherheitsforschern von Trend Micro hat die Gruppe red team Methoden und Anonymisierungstools genutzt, um sensible Daten aus den IT-Infrastrukturen ihrer Ziele abzuschöpfen.

Die Angreifer verwendeten 34 Rogue RDP-Backend-Server in Kombination mit 193 Proxy-Servern, um Opferverbindungen umzuleiten und ihre Aktivitäten zu verschleiern. Sobald das Opfer verbunden ist, nutzen die Kriminellen PyRDP, um die Verbindung zu unterbrechen und als Man-in-the-Middle zu agieren. Mit Zugriff auf Endpunkte konnten die Täter Dateien durchsuchen, sensible Daten extrahieren und mehr.

Die Gesamtzahl der Opfer der gesamten Kampagne ist nicht klar, jedoch wurden laut Trend Micro ungefähr 200 prominente Opfer an einem einzigen Tag ins Visier genommen, als die Kampagne Ende Oktober 2024 auf ihrem Höhepunkt war. Die Opfer waren Regierungs- und Militärorganisationen, Denkfabriken und akademische Forscher, Einrichtungen im Zusammenhang mit der ukrainischen Regierung, ein Cloud-Service-Provider und Einrichtungen des niederländischen Außenministeriums.

Midnight Blizzard, auch bekannt als APT29, Earth Koschchei oder Cozy Bear, ist eine hochentwickelte Bedrohungsgruppe, die vom russischen Staat gesponsert wird und unter direkter Kontrolle des russischen Auslandsgeheimdienstes (SVR) steht.

Es sei darauf hingewiesen, dass Midnight Blizzard als eine hochentwickelte Bedrohungsgruppe gilt, die hauptsächlich in westlichen Ländern digitale Spionagekampagnen durchführt. Via BleepingComputer.