Microsoft ha fatto luce su un cluster precedentemente privo di documenti di attività di minaccia originata da un attore di minaccia affiliato dalla Russia soprannominata Vuoto Blizzard (aka orso del lavanderia) che ha affermato è attribuito a “abusi di nuvole in tutto il mondo”.
Attivo dall’almeno aprile 2024, il gruppo di hacking è legato alle operazioni di spionaggio principalmente rivolte a organizzazioni importanti per gli obiettivi del governo russo, compresi quelli in governo, difesa, trasporti, media, organizzazioni non governative (ONG) e settori sanitari in Europa e Nord America.
“Usano spesso i dettagli di accesso rubati che probabilmente acquistano dai mercati on-line per accedere alle organizzazioni”, il workforce di intelligence di Microsoft minaccia disse In un rapporto pubblicato oggi. “Una volta dentro, rubano grandi quantità di e -mail e file.”
È stato scoperto che gli attacchi montati da void Blizzard per individuare in modo sproporzionato gli Stati membri della NATO e l’Ucraina, suggerendo che l’avversario sta cercando di raccogliere l’intelligenza per ulteriori obiettivi strategici russi.
In particolare, è noto l’attore delle minacce per colpire le organizzazioni governative e le forze dell’ordine negli Stati membri della NATO e nei paesi che forniscono sostegno militare o umanitario diretto all’Ucraina. Si cube anche che abbiano organizzato attacchi di successo rivolti all’istruzione, ai trasporti e ai verticali della difesa in Ucraina.
Ciò embody il compromesso di ottobre 2024 di numerosi account utente appartenenti a un’organizzazione aeronautica ucraina che period stata precedentemente mirata da Blizzard conchigliaun attore di minaccia legata alla direzione di intelligence principale dello workers generale russo (GRU), nel 2022.
Gli attacchi sono caratterizzati come sforzi opportunistici e mirati advert alto quantity progettato per violare obiettivi ritenuti di valore per il governo russo. I metodi di accesso iniziale comprendono tecniche non sofisticate come la spruzzatura della password e le credenziali di autenticazione rubate.
In alcune delle campagne, l’attore di minaccia ha utilizzato le credenziali rubate probabilmente provenienti dai registri del furto di informazioni sulle informazioni sui merci disponibili sul crimine informatico Underground per accedere a Alternate e SharePoint On-line e raccolta e -mail e file da organizzazioni compromesse.
“L’attore di minaccia ha anche elevato in alcuni casi la configurazione di ID Microsoft ENTRA dell’organizzazione compromessa utilizzando lo strumento Azurehound disponibile al pubblico per ottenere informazioni su utenti, ruoli, gruppi, applicazioni e dispositivi appartenenti a quell’aquilino”, ha affermato Microsoft.
Già il mese scorso, il produttore di Home windows ha dichiarato di aver osservato che l’equipaggio di hacking si spostava su “metodi più diretti” per rubare password, come l’invio di e-mail a spesa che sono progettate per indurre le vittime a separarsi dalle loro informazioni di accesso per mezzo di un avversario in mezzo (Aitm) Pagine di destinazione.
L’attività prevede l’uso di un dominio tipografico per impersonare il portale di autenticazione Microsoft ENTRA per colpire oltre 20 ONG in Europa e negli Stati Uniti. I messaggi di posta elettronica dichiarati provengono da un organizzatore del vertice europeo di difesa e sicurezza e contenevano un allegato PDF con falsi inviti al vertice.
Presente Wishing Il documento PDF è un codice QR dannoso che reindirizza a un dominio controllato dagli attaccanti (“Micsrosoftonline (.) Com”) che ospita una pagina di phishing delle credenziali. Si ritiene che la pagina di phishing si basi sull’open-source Malvagio equipment di phishing.
Le azioni post-compromessi dopo aver ottenuto l’accesso iniziale comprendono l’abuso di Alternate On-line e Microsoft Graph per elencare le cassette postali degli utenti e i file ospitati dal cloud e quindi utilizzare l’automazione per facilitare la raccolta di dati in blocco. In istanze selezionate, si cube anche che gli attori delle minacce abbiano accettato le conversazioni e i messaggi di Microsoft Groups tramite l’applicazione consumer Net.
“Molte delle organizzazioni compromesse si sovrappongono al concentrating on passato-o, in alcuni casi, concorrente da altri noti attori dello stato russo, tra cui Blizzard forestale, Blizzard di mezzanotteE Blizzard segreto“, Ha detto Microsoft.” Questo incrocio suggerisce gli interessi condivisi di lo spionaggio e la raccolta dell’intelligence assegnati alle organizzazioni dei genitori di questi attori delle minacce. “
Vuoto Blizzard collegato alla violazione di settembre dell’agenzia di polizia olandese
In una consulenza separata, il Servizio di intelligence e sicurezza dei Paesi Bassi (MIVD) attribuì la bufera vuota a un attore di una minaccia, la violazione di un conto dei dipendenti della polizia olandese tramite un attacco pass-the-cookie, affermando che le informazioni di contatto relative al lavoro dei dipendenti della polizia.
L’attacco di pass-the-cookie si riferisce a uno state of affairs in cui un utente malintenzionato utilizza cookie rubati ottenuti tramite malware per il furto di informazioni per accedere agli account senza dover inserire un nome utente e una password. Al momento non è noto quali altre informazioni siano state rubate, sebbene sia molto probabile che anche altre organizzazioni olandesi siano state prese di mira.
“La lavanderia è alla ricerca di informazioni sull’acquisto e sulla produzione di attrezzature militari da parte dei governi occidentali e delle forniture occidentali di armi in Ucraina”, disse Direttore MIVD, vice ammiraglio Peter Reesink, in una dichiarazione.
