Търсене
Close this search box.

Широкомащабни атаки за кражба на удостоверения

Microsoft разкри, че е открила рязък скок в атаките за кражба на удостоверения, извършвани от свързаната с руската държава хакерска група, известна като Midnight Blizzard.

Проникванията, при които са използвани домашни прокси услуги, за да се прикрие IP адресът на източника на атаките, са насочени към правителства, доставчици на ИТ услуги, неправителствени организации, отбраната и критични производствени сектори, съобщи екипът за разузнаване на заплахите на технологичния гигант.

Midnight Blizzard, по-рано известен като Nobelium, е проследяван и под псевдонимите APT29, Cozy Bear, Iron Hemlock и The Dukes.

Групата, която привлече вниманието на целия свят с компрометирането на веригата за доставки SolarWinds през декември 2020 г., продължава да разчита на невидими инструменти в целевите си атаки, насочени към чуждестранни министерства и дипломатически структури.

Това е знак колко решителни са те да продължат операциите си, въпреки че са разкрити, което ги превръща в особено опасен участник в областта на шпионажа.

 

„При тези атаки на идентификационни данни се използват различни техники за разпръскване на пароли, груба сила и кражба на токени“, заяви Microsoft в поредица от туитове, като добави, че извършителят  „също така е извършил атаки за преиграване на сесии, за да получи първоначален достъп до облачни ресурси, използвайки откраднати сесии, които вероятно са придобити чрез незаконна продажба“.

Технологичният гигант освен това обвини  APT29 в използването на домашни прокси услуги за маршрутизиране на злонамерен трафик в опит да се замажат връзките, осъществени чрез компрометирани идентификационни данни.

„Акторът на заплахата вероятно е използвал тези IP адреси за много кратки периоди, което може да направи определянето на обхвата и отстраняването на нередностите трудни“, заявиха създателите на Windows.

Разработката идва в момент, когато Recorded Future подробно описа нова spear-phishing кампания, организирана от APT28 (известна още като BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight и Fancy Bear), насочена към правителствени и военни структури в Украйна от ноември 2021 г. насам.

Атаките използваха имейли с прикачени файлове, експлоатиращи множество уязвимости в софтуера за уебмейл с отворен код Roundcube (CVE-2020-12641, CVE-2020-35730 и CVE-2021-44026), за да извършват разузнаване и събиране на данни.

Успешният пробив е позволил на хакерите от руското военно разузнаване да разгърнат измамен зловреден софтуер на JavaScript, който е пренасочвал входящите имейли на набелязаните лица към имейл адрес под контрола на нападателите, както и да открадне списъците им с контакти.

„Кампанията показа високо ниво на подготвеност, като бързо въоръжи новинарското съдържание в примамки, за да експлоатира получателите“, заяви компанията за киберсигурност. „Електронните писма за spear-phishing съдържаха новинарски теми, свързани с Украйна, като темите и съдържанието им отразяваха легитимни медийни източници.“

По-важното е, че тази дейност съвпада с друг набор от атаки, при които се използва недостатък от нулев ден в Microsoft Outlook (CVE-2023-23397), за който Microsoft разкри, че е използван при „ограничени целенасочени атаки“ срещу европейски организации.

Уязвимостта с повишаване на привилегиите е била отстранена като част от актуализациите Patch Tuesday, разпространени през март 2023 г.

Констатациите показват постоянните усилия на руските групи за събиране на ценна разузнавателна информация за различни организации в Украйна и в цяла Европа, особено след пълномащабното нахлуване в страната през февруари 2022 г.

Операциите за кибервойна, насочени към украински цели, са особено белязани от широкото разпространение на зловреден софтуер тип „чистачка“, предназначен за изтриване и унищожаване на данни, което го превръща в един от най-ранните случаи на широкомащабен хибриден конфликт.

„BlueDelta почти сигурно ще продължи да се насочва приоритетно към украински правителствени организации и организации от частния сектор, за да подкрепи по-широките руски военни усилия“, заключава Recorded Future.

 

Източник: The Hacker News

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
28 февруари 2024

Предимства на включването на услугата MDR в офе...

Кибератаките се развиват и стават все по-усъвършенствани, а организ...
27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
Бъдете социални
Още по темата
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!