Kritieke cyberwaarschuwing: buitenlandse dreiger richt zich op organisaties met schadelijke RDP-bijlagen

Het Cybersecurity and Infrastructure Security Agency heeft vandaag een belangrijke waarschuwing uitgegeven over een geavanceerde spear-phishingcampagne die organisaties in verschillende sectoren treft, vooral overheden en IT. CISA meldde in een waarschuwing dat het bureau verschillende meldingen had ontvangen over een buitenlandse bedreigingsactor die een vertrouwde vermomming gebruikte om e-mails te verspreiden die kwaadaardige RDP-configuratiebestanden bevatten.

Dit stelt de aanvaller in staat om onbevoegde toegang te krijgen tot gevoelige bestanden op het netwerk om verdere aanvallen voor te bereiden, zoals het implementeren van malware om langdurige controle te behouden.

Samenwerkende cyberbeveiligingsorganisaties

Deze waarschuwing met hoge ernst van CISA wordt vergezeld door waarschuwingen van verschillende grote cyberbeveiligingsgroepen, waaronder:

• Microsoft: Identificeerde een grootschalige phishingcampagne door een dreigingsgroep bekend als “Midnight Blizzard,” die RDP-bestanden gebruikt om toegang te krijgen tot netwerken
• AWS Beveiliging: Aangehaalde internetdomeinen die door de beruchte APT29-groep werden gebruikt voor een spear-phishingaanval.
• Centrum voor cyberveiligheid België: Meldde spear-phishingcampagnes met overheidsthema's waarbij RDP-configuratiebestanden werden gebruikt.
• Computer Emergency Response Team van Oekraïne (CERT-UA): Waarschuwde voor RDP-configuratiebestanden die worden gebruikt voor ongeautoriseerde externe toegang.

Deze organisaties werken samen met CISA om de impact van deze spear-phishingcampagne te monitoren, in te dammen en te onderzoeken. De proactieve maatregelen van CISA zijn gericht op het beschermen van organisaties tegen dit nieuwe soort dreiging en ervoor te zorgen dat er geen verdere incidenten plaatsvinden.