Microsoft je otkrio porast napada na kredencijale koje je izvela ruska državna hakerska grupa poznata kao Midnight Blizzard.
Upadi, koji su koristili rezidencijalne proxy usluge da bi prikrili izvornu IP adresu napada, ciljali su na vlade, pružaoce IT usluga, nevladine organizacije, odbranu i kritične proizvodne sektore, rekao je tim za obavještavanje o pretnjama tehnološkog giganta.
Midnight Blizzard, ranije poznat kao Nobelium, takođe se prati pod nadimcima APT29, Cosy Bear, Iron Hemlock i The Dukes.
Grupa, koja je privukla pažnju širom sveta zbog kompromisa u lancu snabdevanja SolarWinds-a u decembru 2020. godine, nastavila je da se oslanja na neviđene alate u svojim ciljanim napadima usmerenim na ministarstva inostranih poslova i diplomatska tijela.
To je znak koliko su odlučni da održe svoje operacije i rade uprkos tome što su razotkriveni, što ih čini posebno strašnim akterom u oblasti špijunaže.
“Ovi napadi na kredencijale koriste različite tehnike krađe lozinki, grube sile i tehnike krađe tokena” rekao je Microsoft u nizu tweet-ova, dodajući da je haker “takođe provodio napade ponavljanja sesije kako bi dobio početni pristup resursima u Cloud-u koristeći ukradene sesije koje su vjerovatno stečene putem nedozvoljene prodaje.”
Tehnološki gigant je dalje prozvao APT29 zbog korištenja rezidencijalnih proxy usluga za usmjeravanje malicioznog prometa u pokušaju da prikrije veze napravljene korištenjem kompromitovanih kredencijala.
„Haker je verovatno koristio ove IP adrese u veoma kratkim periodima, što bi moglo da izazove merenje opsega i sanaciju“ rekao je proizvođač Windows-a.
Razvoj dolazi nakon što je Recorded Future detaljno opisao novu kampanju krađe identiteta koju je orkestrovao APT28 (aka BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight i Fancy Bear) usmjerenu na vladine i vojne subjekte u Ukrajini od novembra 2021. godine.
Napadi su koristili email-ove sa privitcima iskorišćavajući višestruke ranjivosti u softveru za email-ove otvorenog koda Roundcube (CVE -2020-12641 ,CVE-2020-35730 i CVE-2021-44026) za izviđanje i prikupljanje podataka.
Uspješno probijanje omogućilo je hakerima ruske vojne obavještajne službe da implementuju lažni JavaScript malware koji je preusmjeravao dolazni email ciljanih pojedinaca na email adresu pod kontrolom napadača, kao i ukrao njihove liste kontakata.
“Kampanja je pokazala visok nivo pripremljenosti, brzo pretvarajući sadržaj vijesti u mamce za iskorištavanje primatelja” rekla je kompanija za kibernetičku bezbjednost. “Email-ovi za krađu identiteta sadržavale su teme vijesti koje se odnose na Ukrajinu, s temama i sadržajem koji odražavaju legitimne medijske izvore.”
Što je još važnije, kaže se da je ta aktivnost povezana s drugim nizom napada koji naoružavaju tadašnji nedostatak u Microsoft Outlook-u (CVE-2023-23397) za koji je Microsoft otkrio da ga koriste hakeri sa sjedištem u Rusiji u “ograničenim ciljanim napadima” na evropske organizacije.
Ranjivost eskalacije privilegija je riješena u sklopu Patch Tuesday ažuriranja objavljenih u martu 2023. godine.
Nalazi pokazuju uporne napore ruskih hakera u prikupljanju vrijednih obavještajnih podataka o različitim entitetima u Ukrajini i širom Evrope, posebno nakon invazije na zemlju u februaru 2022. godine.
Operacije kibernetičkog-ratovanja usmjerene na ukrajinske mete bile su posebno obilježene široko rasprostranjenom primjenom wiper malware-a dizajniranog za brisanje i uništavanje podataka, pretvarajući ih u jedan od najranijih primjera hibridnog sukoba velikih razmjera.
“BlueDelta će gotovo sigurno nastaviti da daje prioritet ukrajinskim vladinim i privatnim organizacijama kako bi podržala šire ruske vojne napore” zaključuje Recorded Future.
Izvor: The Hacker News