Microsoft разкри, че е открила рязък скок в атаките за кражба на удостоверения, извършвани от свързаната с руската държава хакерска група, известна като Midnight Blizzard.

Проникванията, при които са използвани домашни прокси услуги, за да се прикрие IP адресът на източника на атаките, са насочени към правителства, доставчици на ИТ услуги, неправителствени организации, отбраната и критични производствени сектори, съобщи екипът за разузнаване на заплахите на технологичния гигант.

Midnight Blizzard, по-рано известен като Nobelium, е проследяван и под псевдонимите APT29, Cozy Bear, Iron Hemlock и The Dukes.

Групата, която привлече вниманието на целия свят с компрометирането на веригата за доставки SolarWinds през декември 2020 г., продължава да разчита на невидими инструменти в целевите си атаки, насочени към чуждестранни министерства и дипломатически структури.

Това е знак колко решителни са те да продължат операциите си, въпреки че са разкрити, което ги превръща в особено опасен участник в областта на шпионажа.

 

„При тези атаки на идентификационни данни се използват различни техники за разпръскване на пароли, груба сила и кражба на токени“, заяви Microsoft в поредица от туитове, като добави, че извършителят  „също така е извършил атаки за преиграване на сесии, за да получи първоначален достъп до облачни ресурси, използвайки откраднати сесии, които вероятно са придобити чрез незаконна продажба“.

Технологичният гигант освен това обвини  APT29 в използването на домашни прокси услуги за маршрутизиране на злонамерен трафик в опит да се замажат връзките, осъществени чрез компрометирани идентификационни данни.

„Акторът на заплахата вероятно е използвал тези IP адреси за много кратки периоди, което може да направи определянето на обхвата и отстраняването на нередностите трудни“, заявиха създателите на Windows.

Разработката идва в момент, когато Recorded Future подробно описа нова spear-phishing кампания, организирана от APT28 (известна още като BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight и Fancy Bear), насочена към правителствени и военни структури в Украйна от ноември 2021 г. насам.

Атаките използваха имейли с прикачени файлове, експлоатиращи множество уязвимости в софтуера за уебмейл с отворен код Roundcube (CVE-2020-12641, CVE-2020-35730 и CVE-2021-44026), за да извършват разузнаване и събиране на данни.

Успешният пробив е позволил на хакерите от руското военно разузнаване да разгърнат измамен зловреден софтуер на JavaScript, който е пренасочвал входящите имейли на набелязаните лица към имейл адрес под контрола на нападателите, както и да открадне списъците им с контакти.

„Кампанията показа високо ниво на подготвеност, като бързо въоръжи новинарското съдържание в примамки, за да експлоатира получателите“, заяви компанията за киберсигурност. „Електронните писма за spear-phishing съдържаха новинарски теми, свързани с Украйна, като темите и съдържанието им отразяваха легитимни медийни източници.“

По-важното е, че тази дейност съвпада с друг набор от атаки, при които се използва недостатък от нулев ден в Microsoft Outlook (CVE-2023-23397), за който Microsoft разкри, че е използван при „ограничени целенасочени атаки“ срещу европейски организации.

Уязвимостта с повишаване на привилегиите е била отстранена като част от актуализациите Patch Tuesday, разпространени през март 2023 г.

Констатациите показват постоянните усилия на руските групи за събиране на ценна разузнавателна информация за различни организации в Украйна и в цяла Европа, особено след пълномащабното нахлуване в страната през февруари 2022 г.

Операциите за кибервойна, насочени към украински цели, са особено белязани от широкото разпространение на зловреден софтуер тип „чистачка“, предназначен за изтриване и унищожаване на данни, което го превръща в един от най-ранните случаи на широкомащабен хибриден конфликт.

„BlueDelta почти сигурно ще продължи да се насочва приоритетно към украински правителствени организации и организации от частния сектор, за да подкрепи по-широките руски военни усилия“, заключава Recorded Future.

 

Източник: The Hacker News

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
17 февруари 2025

Изтеглянето на DeepSeek е спряно в Южна Корея

Китайският стартъп за изкуствен интелект DeepSeek временно е спрял ...
Бъдете социални
Още по темата
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
17/02/2025

Русия насочва организациите...

Свързана с Русия заплаха, проследена като...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!