Microsoft je rasvijetlio prethodno nedokumentirani skup malicioznih aktivnosti koje potiču od ruskog hakera pod nazivom Void Blizzard (poznat i kao Laundry Bear), za koji je rekao da se pripisuje “globalnoj iskorištavanja cloud-a”.
Aktivna najmanje od aprila 2024. godine, hakerska grupa povezana je sa špijunskim operacijama koje su uglavnom usmjerene na organizacije važne za ciljeve ruske vlade, uključujući one u vladi, odbrani, transportu, medijima, nevladinim organizacijama (NVO) i zdravstvenom sektoru u Evropi i Sjevernoj Americi.
„Često koriste ukradene podatke za prijavu koje vjerovatno kupuju na online tržištima kako bi dobili pristup organizacijama“, rekao je tim Microsoft Threat Intelligence u izvještaju objavljenom danas. „Jednom kada uđu unutra, kradu velike količine e-poruka i datoteka.“
Utvrđeno je da napadi koje je izvela grupa Void Blizzard nesrazmjerno izdvajaju države članice NATO-a i Ukrajinu, što sugeriše da protivnik želi prikupljati obavještajne podatke za unapređenje ruskih strateških ciljeva.
Konkretno, poznato je da ovaj haker cilja vladine organizacije i agencije za provođenje zakona u državama članicama NATO-a i zemljama koje pružaju direktnu vojnu ili humanitarnu podršku Ukrajini. Takođe se navodi da je izveo uspješne napade usmjerene na obrazovanje, transport i odbrambene sektore u Ukrajini.
To uključuje kompromitovanje nekoliko korisničkih računa iz oktobra 2024. godine koji pripadaju ukrajinskoj avio-organizaciji, a koju je prethodno 2022. godine ciljao Seashell Blizzard , akter prijetnje povezan s glavnom obavještajnom upravom ruskog Generalštaba (GRU).
Napadi se karakterizuju kao oportunistički i ciljani napori velikog obima koji su osmišljeni kako bi se provalili u ciljeve koji se smatraju vrijednim za rusku vladu. Početne metode pristupa uključuju nesofisticirane tehnike poput raspršivanja lozinki i ukradenih autentifikacijskih podataka.
U nekim kampanjama, napadač je koristio ukradene kredencijale vjerovatno dobijene iz zapisnika kradljivaca informacija dostupnih na internetu kako bi pristupio Exchangeu i SharePoint Onlineu te prikupio e-poštu i datoteke od kompromitovanih organizacija.
„Prijetnja je u nekim slučajevima takođe nabrojala konfiguraciju Microsoft Entra ID-a kompromitovane organizacije koristeći javno dostupan alat AzureHound kako bi dobila informacije o korisnicima, ulogama, grupama, aplikacijama i uređajima koji pripadaju tom zakupcu“, saopštio je Microsoft.
Prošlog mjeseca, proizvođač Windowsa je izjavio da je primijetio da se hakerska ekipa prebacuje na “direktnije metode” krađe lozinki, poput slanja spear-phishing e-poruka koje su osmišljene da prevare žrtve da otkriju svoje podatke za prijavu putem odredišnih stranica tipa “protivnik u sredini” ( AitM ).
Aktivnost uključuje korištenje domena s tipografskom greškom kako bi se lažno predstavljao portal za autentifikaciju Microsoft Entra s ciljem ciljanja preko 20 nevladinih organizacija u Evropi i Sjedinjenim Američkim Državama. E-poruke su navodno bile od organizatora Evropskog samita o odbrani i sigurnosti i sadržavale su PDF prilog s lažnim pozivnicama za samit.
PDF dokument koji predstavlja malicizoni QR kod preusmjerava na domenu koju kontroliše napadač (“micsrosoftonline[.]com”) koja hostira stranicu za krađu podataka. Vjeruje se da je stranica za krađu podataka zasnovana na Evilginx phishing kompletu otvorenog koda .
Post-kompromisne akcije nakon dobijanja početnog pristupa obuhvataju iskorištavanje Exchange Onlinea i Microsoft Grapha za nabrajanje korisničkih poštanskih sandbox i datoteka hostovanih u cloud-u, a zatim korištenje automatizacije za olakšavanje masovnog prikupljanja podataka. U odabranim slučajevima, navodi se da su hakeri takođe pristupali razgovorima i porukama Microsoft Teamsa putem web klijentske aplikacije.
„Mnoge od kompromitovanih organizacija preklapaju se s prošlim – ili, u nekim slučajevima, istovremenim – metama drugih poznatih ruskih državnih hakera, uključujući Forest Blizzard , Midnight Blizzard i Secret Blizzard “, rekao je Microsoft. „Ovaj presjek sugeriše zajedničke interese špijunaže i prikupljanja obavještajnih podataka dodijeljene matičnim organizacijama ovih aktera prijetnji.“
Void Blizzard povezan s kršenjem zakona holandske policijske agencije u septembru
U odvojenom savjetovanju, Holandska obavještajna i sigurnosna služba odbrane (MIVD) pripisala je Void Blizzard napadu na račun holandskog policijskog službenika 23. septembra 2024. godine putem napada “pass-the-cookie”, navodeći da je napadač dobio kontakt informacije policijskih službenika vezane za posao.
Napad “prenesi kolačić” odnosi se na scenario u kojem napadač koristi ukradene kolačiće dobijene putem malicioznog softvera za krađu informacija kako bi se prijavio na račune bez potrebe za unosom korisničkog imena i lozinke. Trenutno nije poznato koje su još informacije ukradene, iako je vrlo vjerovatno da su i druge holandske organizacije bile meta napada.
“Laundry Bear traži informacije o kupovini i proizvodnji vojne opreme od strane zapadnih vlada i zapadnim isporukama oružja Ukrajini”, rekao je direktor MIVD-a, viceadmiral Peter Reesink, u saopštenju.
Izvor:The Hacker News
