近期代号为APT29、UNC2452、Cozy Bear的俄罗斯黑客组织Midnight Blizzard攻击行动频频，上周乌克兰电脑紧急应变团队（CERT-UA）警告这些黑客利用远程桌面连接（RDP）组态文件从事攻击行动，并指出黑客在8月就开始架设基础设施，本周微软表示，这可能是全球大规模攻击的一部分。

微软威胁情报中心指出，他们从10月22日开始，发现Midnight Blizzard的大规模网钓攻击行动，这些黑客向政府、学术界、国防、非政府组织等机构发送高度针对性的钓鱼邮件，有超过100个组织、数千人成为目标。这些钓鱼信的共通点在于，黑客挟带了带有签章的RDP组态文件。研究人员推测，这起攻击的主要目标，是进行情报的收集。

这起攻击行动的范围相当广，英国、欧洲、澳洲、日本是主要目标，但还有数十个国家也出现相关攻击。

值得一提的是，黑客使用的诱饵当中，有部分会冒充微软的员工来引诱收信人上当，但研究人员也看到假冒其他云端服务业者，或是与零信任概念有关的诱饵。

针对钓鱼信里挟带的附件文件，研究人员指出是经Let's Encrypt凭证进行签章的RDP档，这些组态文件内含多项敏感配置，很有可能引发信息泄露。

一旦目标系统遭到入侵，将会与攻击者控制的服务器连接，并以双向对应方式（bidirectionally mapped）将受害电脑连接的周边设备与暂存数据，挂载到攻击者控制的服务器。这些资源包含本机硬盘、剪贴板内容、打印机与其他连接到电脑的外部设备，甚至连Windows身分验证功能相关的设施（如智能卡），也在共享的范围里面。研究人员提及，用户登录电脑的帐密数据，也可能会因此曝露给黑客。

接着，攻击者便能在受害电脑或是共享的网络硬盘植入恶意软件，尤其是可能部署RAT木马程序等其他工具，以便在RDP连接中断后持续存取受害电脑。