Търсене
Close this search box.

Широкомащабни атаки за кражба на удостоверения

Microsoft разкри, че е открила рязък скок в атаките за кражба на удостоверения, извършвани от свързаната с руската държава хакерска група, известна като Midnight Blizzard.

Проникванията, при които са използвани домашни прокси услуги, за да се прикрие IP адресът на източника на атаките, са насочени към правителства, доставчици на ИТ услуги, неправителствени организации, отбраната и критични производствени сектори, съобщи екипът за разузнаване на заплахите на технологичния гигант.

Midnight Blizzard, по-рано известен като Nobelium, е проследяван и под псевдонимите APT29, Cozy Bear, Iron Hemlock и The Dukes.

Групата, която привлече вниманието на целия свят с компрометирането на веригата за доставки SolarWinds през декември 2020 г., продължава да разчита на невидими инструменти в целевите си атаки, насочени към чуждестранни министерства и дипломатически структури.

Това е знак колко решителни са те да продължат операциите си, въпреки че са разкрити, което ги превръща в особено опасен участник в областта на шпионажа.

 

„При тези атаки на идентификационни данни се използват различни техники за разпръскване на пароли, груба сила и кражба на токени“, заяви Microsoft в поредица от туитове, като добави, че извършителят  „също така е извършил атаки за преиграване на сесии, за да получи първоначален достъп до облачни ресурси, използвайки откраднати сесии, които вероятно са придобити чрез незаконна продажба“.

Технологичният гигант освен това обвини  APT29 в използването на домашни прокси услуги за маршрутизиране на злонамерен трафик в опит да се замажат връзките, осъществени чрез компрометирани идентификационни данни.

„Акторът на заплахата вероятно е използвал тези IP адреси за много кратки периоди, което може да направи определянето на обхвата и отстраняването на нередностите трудни“, заявиха създателите на Windows.

Разработката идва в момент, когато Recorded Future подробно описа нова spear-phishing кампания, организирана от APT28 (известна още като BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight и Fancy Bear), насочена към правителствени и военни структури в Украйна от ноември 2021 г. насам.

Атаките използваха имейли с прикачени файлове, експлоатиращи множество уязвимости в софтуера за уебмейл с отворен код Roundcube (CVE-2020-12641, CVE-2020-35730 и CVE-2021-44026), за да извършват разузнаване и събиране на данни.

Успешният пробив е позволил на хакерите от руското военно разузнаване да разгърнат измамен зловреден софтуер на JavaScript, който е пренасочвал входящите имейли на набелязаните лица към имейл адрес под контрола на нападателите, както и да открадне списъците им с контакти.

„Кампанията показа високо ниво на подготвеност, като бързо въоръжи новинарското съдържание в примамки, за да експлоатира получателите“, заяви компанията за киберсигурност. „Електронните писма за spear-phishing съдържаха новинарски теми, свързани с Украйна, като темите и съдържанието им отразяваха легитимни медийни източници.“

По-важното е, че тази дейност съвпада с друг набор от атаки, при които се използва недостатък от нулев ден в Microsoft Outlook (CVE-2023-23397), за който Microsoft разкри, че е използван при „ограничени целенасочени атаки“ срещу европейски организации.

Уязвимостта с повишаване на привилегиите е била отстранена като част от актуализациите Patch Tuesday, разпространени през март 2023 г.

Констатациите показват постоянните усилия на руските групи за събиране на ценна разузнавателна информация за различни организации в Украйна и в цяла Европа, особено след пълномащабното нахлуване в страната през февруари 2022 г.

Операциите за кибервойна, насочени към украински цели, са особено белязани от широкото разпространение на зловреден софтуер тип „чистачка“, предназначен за изтриване и унищожаване на данни, което го превръща в един от най-ранните случаи на широкомащабен хибриден конфликт.

„BlueDelta почти сигурно ще продължи да се насочва приоритетно към украински правителствени организации и организации от частния сектор, за да подкрепи по-широките руски военни усилия“, заключава Recorded Future.

 

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
24/07/2024

Китайските хакери разполага...

Китайската хакерска група, проследена като „Evasive...
24/07/2024

Юлските актуализации за сиг...

Microsoft предупреди, че след инсталирането на...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!