Microsoft, Midnight Blizzard olarak bilinen Rus devletine bağlı bilgisayar korsanı grubu tarafından yürütülen kimlik bilgileri çalma saldırılarında bir artış tespit ettiğini açıkladı.
Teknoloji devinin tehdit istihbarat ekibi, saldırıların kaynak IP adresini gizlemek için konut proxy hizmetlerinden yararlanan izinsiz girişlerin, hükümetleri, BT hizmet sağlayıcılarını, STK’ları, savunma ve kritik üretim sektörlerini hedef aldığını söyledi.
Midnight Blizzard, eski adıyla Soyluayrıca APT29, Cozy Bear, Iron Hemlock ve The Dukes takma adları altında izlenir.
Aralık 2020’de SolarWinds tedarik zinciri uzlaşmasıyla dünya çapında dikkatleri üzerine çeken grup, dışişleri bakanlıkları ve diplomatik kuruluşları hedef alan hedefli saldırılarında görünmeyen araçlara güvenmeye devam etti.
Bu, ifşa olmalarına rağmen operasyonlarını sürdürmekte ne kadar kararlı olduklarının bir işareti, bu da onları casusluk alanında özellikle zorlu bir aktör yapıyor.
Microsoft, “Bu kimlik bilgisi saldırıları, çeşitli parola püskürtme, kaba kuvvet ve belirteç hırsızlığı teknikleri kullanır.” söz konusu Bir dizi tweet’te, aktör “muhtemelen yasa dışı satış yoluyla elde edilmiş çalıntı oturumlardan yararlanarak bulut kaynaklarına ilk erişimi elde etmek için oturum yeniden oynatma saldırıları da gerçekleştirdi.”
Teknoloji devi ayrıca APT29’u, güvenliği ihlal edilmiş kimlik bilgileri kullanılarak yapılan bağlantıları gizleme girişiminde kötü amaçlı trafiği yönlendirmek için konut proxy hizmetlerini kullandığı için çağırdı.
Windows yapımcıları, “Tehdit aktörü, bu IP adreslerini büyük olasılıkla çok kısa süreler boyunca kullandı, bu da kapsam belirleme ve düzeltmeyi zorlaştırabilir.”
Gelişme, Recorded Future’ın Kasım 2021’den bu yana Ukrayna’daki hükümet ve askeri kuruluşları hedef alan APT28 (namı diğer BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight ve Fancy Bear) tarafından düzenlenen yeni bir mızrakla kimlik avı kampanyasını ayrıntılı olarak açıklamasıyla birlikte geldi.
Saldırılar, keşif ve veri toplama gerçekleştirmek için açık kaynaklı Roundcube web posta yazılımındaki (CVE-2020-12641, CVE-2020-35730 ve CVE-2021-44026) birden fazla güvenlik açığından yararlanan ekler içeren e-postalardan yararlandı.
Başarılı bir ihlal, Rus askeri istihbarat bilgisayar korsanlarının, hedeflenen kişilerin gelen e-postalarını saldırganların kontrolü altındaki bir e-posta adresine yönlendiren ve kişi listelerini çalan sahte JavaScript kötü amaçlı yazılımlarını dağıtmasına olanak sağladı.
Siber güvenlik şirketi, “Kampanya, yüksek düzeyde hazırlık sergiledi ve haber içeriğini alıcıları istismar etmek için hızla silah haline getirdi” dedi. “Mraklı kimlik avı e-postaları, konu satırları ve meşru medya kaynaklarını yansıtan içerikle birlikte Ukrayna ile ilgili haber temaları içeriyordu.”
Daha da önemlisi, etkinliğin, Microsoft’un Avrupalı kuruluşlara karşı “sınırlı hedefli saldırılarda” kullanıldığını açıkladığı Microsoft Outlook’ta (CVE-2023-23397) sıfır gün açığını silahlandıran başka bir dizi saldırıyla örtüştüğü söyleniyor.
Ayrıcalık yükseltme güvenlik açığı, Mart 2023’te kullanıma sunulan Salı Yaması güncellemelerinin bir parçası olarak giderildi.
Bulgular, Rus tehdit aktörlerinin, özellikle Şubat 2022’de ülkenin tam ölçekli işgalinin ardından, Ukrayna’daki ve Avrupa’daki çeşitli varlıklar hakkında değerli istihbarat toplama konusundaki ısrarlı çabalarını gösteriyor.
Ukrayna hedeflerine yönelik siber savaş operasyonları, verileri silmek ve yok etmek için tasarlanmış silici kötü amaçlı yazılımın yaygın olarak konuşlandırılmasıyla dikkat çekiyor ve bu da onu büyük ölçekli hibrit çatışmanın en eski örneklerinden biri haline getiriyor.
Recorded Future, “BlueDelta, daha geniş Rus askeri çabalarını desteklemek için Ukrayna hükümetini ve özel sektör kuruluşlarını hedef almaya neredeyse kesinlikle öncelik vermeye devam edecek.”