Aanvallers maken bij phishingaanvallen op grote schaal gebruik van Remote Desktop Protocol (RDP) configuratiebestanden om individuen en organisaties te compromitteren, zo waarschuwt Microsoft. Volgens het techbedrijf hebben meer dan duizend doelwitten in meer dan honderd organisaties de phishingmails ontvangen. De e-mails hebben als bijlage een .RDP-bestand.

Het Remote Desktop Protocol maakt het mogelijk om computers op afstand te besturen. De RDP-bestanden die bij de aanvalscampagne worden gebruikt zijn met een certificaat van Let's Encrypt gesigneerd. Zodra de ontvanger het RDP-bestand opent wordt er vanaf zijn computer een verbinding met de RDP-server van de aanvallers opgezet. Die kunnen vervolgens via RDP de computer van het doelwit overnemen.

Volgens Microsoft zijn de gebruikte RDP-bestanden voorzien van gevoelige instellingen, waardoor er allerlei informatie van het doelwit wordt gelekt. Zodra het doelsysteem is gecompromitteerd maakt het verbinding met de server van de aanvallers en worden lokale resources voor de RDP-server beschikbaar. Het gaat dan bijvoorbeeld om harde schijven, inhoud van het clipboard, printers, aangesloten apparaten, audio en authenticatiefeatures van Windows, waaronder smartcards.

"Met deze toegang zouden de aanvallers malware het de lokale schijf of netwerkshares van het doelwit kunnen installeren", aldus Microsoft. Op deze manier kan de aanvaller toegang behouden als de RDP-sessie wordt gesloten. Tevens stelt het techbedrijf dat bij het opzetten van de RDP-verbinding naar de server van de aanvallers ook de inloggegevens van het doelwit kunnen worden verstuurd.

Volgens Microsoft zijn overheden, academici, de defensiesector en NGO's het doelwit van de aanvallen. Het techbedrijf stelt dat die het werk zijn van een aan Rusland gelieerde groep genaamd Midnight Blizzard, die ook bekendstaat als APT29 en Cozy Bear. Onlangs waarschuwde ook Amazon dat het domeinen had geïdentificeerd die bij deze aanval zijn gebruikt.