Kritisk cybervarning: Utländsk hotaktör riktar in sig på organisationer med skadliga RDP-bilagor

Cybersecurity and Infrastructure Security Agency utfärdade idag ett stort varningsmeddelande om en sofistikerad spear-phishingkampanj som drabbar organisationer inom olika sektorer, särskilt regering och IT. CISA sade i en varning att myndigheten hade tagit emot flera rapporter om en utländsk hotaktör som använde en betrodd förklädnad för att distribuera e-postmeddelanden laddade med skadliga RDP-konfigurationsfiler.

Detta ger angriparen obehörig åtkomst till känsliga filer på nätverket för att genomföra ytterligare attacker, såsom att distribuera skadlig kod för att behålla långsiktig kontroll.

Samarbetande cybersäkerhetsorganisationer

Denna högprioriterade varning från CISA kompletteras av varningar från flera stora cybersäkerhetsgrupper, bland annat:

• Microsoft: Identifierade en storskalig phishingkampanj av en hotgrupp känd som “Midnight Blizzard,” som använder RDP-filer för att få åtkomst till nätverk.
• AWS Säkerhet: Citerade internetdomäner som använts av den ökända APT29-gruppen för en spear-phishing-attack.
• Centrum för cybersäkerhet i Belgien: Rapporterade spear-phishing-kampanjer med regeringstema som använde RDP-konfigurationsfiler.
• Computer Emergency Response Team of Ukraine (CERT-UA): Varnade för RDP-konfigurationsfiler som används för obehörig fjärråtkomst.

Dessa organisationer samarbetar med CISA för att övervaka, begränsa och undersöka effekterna av denna spear-phishingkampanj. CISA:s proaktiva åtgärder syftar till att skydda organisationer från denna nya typ av hot och säkerställa att inga ytterligare incidenter inträffar.