Microsoft разкри, че е открила рязък скок в атаките за кражба на удостоверения, извършвани от свързаната с руската държава хакерска група, известна като Midnight Blizzard.
Проникванията, при които са използвани домашни прокси услуги, за да се прикрие IP адресът на източника на атаките, са насочени към правителства, доставчици на ИТ услуги, неправителствени организации, отбраната и критични производствени сектори, съобщи екипът за разузнаване на заплахите на технологичния гигант.
Midnight Blizzard, по-рано известен като Nobelium, е проследяван и под псевдонимите APT29, Cozy Bear, Iron Hemlock и The Dukes.
Групата, която привлече вниманието на целия свят с компрометирането на веригата за доставки SolarWinds през декември 2020 г., продължава да разчита на невидими инструменти в целевите си атаки, насочени към чуждестранни министерства и дипломатически структури.
Това е знак колко решителни са те да продължат операциите си, въпреки че са разкрити, което ги превръща в особено опасен участник в областта на шпионажа.
„При тези атаки на идентификационни данни се използват различни техники за разпръскване на пароли, груба сила и кражба на токени“, заяви Microsoft в поредица от туитове, като добави, че извършителят „също така е извършил атаки за преиграване на сесии, за да получи първоначален достъп до облачни ресурси, използвайки откраднати сесии, които вероятно са придобити чрез незаконна продажба“.
Технологичният гигант освен това обвини APT29 в използването на домашни прокси услуги за маршрутизиране на злонамерен трафик в опит да се замажат връзките, осъществени чрез компрометирани идентификационни данни.
„Акторът на заплахата вероятно е използвал тези IP адреси за много кратки периоди, което може да направи определянето на обхвата и отстраняването на нередностите трудни“, заявиха създателите на Windows.
Разработката идва в момент, когато Recorded Future подробно описа нова spear-phishing кампания, организирана от APT28 (известна още като BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight и Fancy Bear), насочена към правителствени и военни структури в Украйна от ноември 2021 г. насам.
Атаките използваха имейли с прикачени файлове, експлоатиращи множество уязвимости в софтуера за уебмейл с отворен код Roundcube (CVE-2020-12641, CVE-2020-35730 и CVE-2021-44026), за да извършват разузнаване и събиране на данни.
Успешният пробив е позволил на хакерите от руското военно разузнаване да разгърнат измамен зловреден софтуер на JavaScript, който е пренасочвал входящите имейли на набелязаните лица към имейл адрес под контрола на нападателите, както и да открадне списъците им с контакти.
„Кампанията показа високо ниво на подготвеност, като бързо въоръжи новинарското съдържание в примамки, за да експлоатира получателите“, заяви компанията за киберсигурност. „Електронните писма за spear-phishing съдържаха новинарски теми, свързани с Украйна, като темите и съдържанието им отразяваха легитимни медийни източници.“
По-важното е, че тази дейност съвпада с друг набор от атаки, при които се използва недостатък от нулев ден в Microsoft Outlook (CVE-2023-23397), за който Microsoft разкри, че е използван при „ограничени целенасочени атаки“ срещу европейски организации.
Уязвимостта с повишаване на привилегиите е била отстранена като част от актуализациите Patch Tuesday, разпространени през март 2023 г.
Констатациите показват постоянните усилия на руските групи за събиране на ценна разузнавателна информация за различни организации в Украйна и в цяла Европа, особено след пълномащабното нахлуване в страната през февруари 2022 г.
Операциите за кибервойна, насочени към украински цели, са особено белязани от широкото разпространение на зловреден софтуер тип „чистачка“, предназначен за изтриване и унищожаване на данни, което го превръща в един от най-ранните случаи на широкомащабен хибриден конфликт.
„BlueDelta почти сигурно ще продължи да се насочва приоритетно към украински правителствени организации и организации от частния сектор, за да подкрепи по-широките руски военни усилия“, заключава Recorded Future.
