Microsoft heeft licht geworpen op een eerder cluster zonder papieren van dreigingsactiviteit afkomstig van een Rusland-gelieerde dreigingsacteur genaamd Nietig Blizzard (AKA Laundry Bear) dat volgens haar wordt toegeschreven aan “wereldwijd cloudmisbruik”.
Actief sinds minstens april 2024, is de hackgroep gekoppeld aan spionageactiviteiten, voornamelijk gericht op organisaties die belangrijk zijn voor Russische overheidsdoelstellingen, waaronder die in de overheid, defensie, transport, media, niet-gouvernementele organisaties (NGO’s) en gezondheidszorgsectoren in Europa en Noord-Amerika.
“Ze gebruiken vaak gestolen aanmeldingsgegevens die ze waarschijnlijk kopen bij online marktplaatsen om toegang te krijgen tot organisaties,” zei het Microsoft Threat Intelligence-team in een rapport dat vandaag is gepubliceerd. “Eenmaal binnen stelen ze grote hoeveelheden e -mails en bestanden.”
Er zijn aangevallen gevonden door Void Blizzard dat ze de NAVO -lidstaten en Oekraïne onevenredig intensief zijn, wat suggereert dat de tegenstander inlichtingen wil verzamelen om de Russische strategische doelstellingen te bevorderen.
In het bijzonder is het bekend dat de dreigingsacteur zich richt op overheidsorganisaties en wetshandhavingsinstanties in NAVO -lidstaten en landen die directe militaire of humanitaire steun bieden aan Oekraïne. Er wordt ook gezegd dat het succesvolle aanvallen heeft opgevoerd die gericht zijn op onderwijs, transport en defensie verticals in Oekraïne.
Dit omvat het compromis van oktober 2024 van verschillende gebruikersaccounts van een Oekraïense luchtvaartorganisatie die eerder was gericht door Seashell Blizzard, een dreigingsacteur gebonden aan de Russian General Staff Main Intelligence Directorate (GRU), in 2022.
De aanvallen worden gekenmerkt als opportunistische en gerichte hoogvolume-inspanningen die zijn ontworpen om doelen te schenden die van waarde worden beschouwd voor de Russische regering. Eerste toegangsmethoden omvatten niet -geavanceerde technieken zoals wachtwoordspuiten en gestolen authenticatie -referenties.
In sommige van de campagnes heeft de dreigingsacteur gestolen referenties gebruikt die waarschijnlijk zijn afkomstig van grondstoffeninformatie Stealer -logboeken die beschikbaar zijn op de Cybercrime Underground om toegang te krijgen tot Exchange en SharePoint Online en e -mail en bestanden van gecompromitteerde organisaties.
“De dreigingsacteur heeft in sommige gevallen ook de Microsoft Entra ID -configuratie van de gecompromitteerde organisatie opgesomd met behulp van de openbaar beschikbare Azurehound -tool om informatie te verkrijgen over de gebruikers, rollen, groepen, applicaties en apparaten van die huurder,” zei Microsoft.
Zo recent als vorige maand, zei de Windows Maker dat het de hackingploeg zag die verschoof naar “meer directe methoden” om wachtwoorden te stelen, zoals het verzenden van speer-phishing-e-mails die zijn ontworpen om slachtoffers te misleiden om af te scheiden met hun inloggegevens door middel van een tegenstander-in-the-middle (AITM) landingspagina’s.
De activiteit omvat het gebruik van een typosquatted domein om zich voor te doen als de Microsoft Entra Authentication Portal om zich te richten op meer dan 20 ngo’s in Europa en de Verenigde Staten. De e -mailberichten beweerden van een organisator van de European Defense and Security Summit en bevatten een PDF -bijlage met nep -uitnodigingen voor de top.
Huidig wensen van het PDF-document is een kwaadaardige QR-code die omleidt naar een aanvaller-gecontroleerd domein (“MICSROSOFTONLINE (.) Com”) dat een phishing-pagina van de referenties host. Er wordt aangenomen dat de phishing-pagina is gebaseerd op de open-source evilginx phishing-kit.
Post-compromisloze acties na het verkrijgen van initiële toegang omvatten het misbruik van Exchange of Exchange Online en Microsoft Graph om de postbussen van gebruikers en cloud-gehoste bestanden op te sommen, en vervolgens gebruik te maken van automatisering om bulkgegevensverzameling te vergemakkelijken. In geselecteerde gevallen zouden de dreigingsactoren ook toegang hebben tot Microsoft Teams -gesprekken en -berichten via de Web Client -applicatie.
“Veel van de gecompromitteerde organisaties overlappen elkaar met eerdere-of, in sommige gevallen, gelijktijdig-gericht op andere bekende Russische staatsacteurs, waaronder Forest Blizzard, Midnight Blizzard en Secret Blizzard,” zei Microsoft. “Dit kruispunt suggereert gedeelde belangen van spionage en inlichtingen die zijn toegewezen aan de ouderorganisaties van deze dreigingsactoren.”
Nietig Blizzard gekoppeld aan september inbreuk op het Nederlandse politiebureau
In een afzonderlijk advies schreef de Nederlandse Defense Intelligence and Security Service (MIVD) Void Blizzard toe aan een 23 september 2024, schending van een Nederlandse politie-medewerkeraccount via een pass-the-cookie-aanval, waarin werd verklaard dat werkgerelateerde contactinformatie van politiewerknemers werd verkregen door de dreigingsacteur.
Pass-the-Cookie-aanval verwijst naar een scenario waarin een aanvaller gestolen cookies gebruikt die zijn verkregen via informatie-stealer malware om zich aan te melden bij accounts zonder een gebruikersnaam en wachtwoord in te voeren. Het is momenteel niet bekend welke andere informatie is gestolen, hoewel het zeer waarschijnlijk is dat andere Nederlandse organisaties ook het doelwit waren.
“Laundry Bear is op zoek naar informatie over de aankoop en productie van militaire uitrusting door westerse regeringen en westerse wapenbenodigdheden naar Oekraïne,” zei MIVD -directeur, vice -admiraal Peter Reesink, in een verklaring.
