Microsoft Tehdit İstihbarat Merkezi (MSTIC), çamaşır ayı olarak da bilinen geçersiz Blizzard olarak izlenen bir tehdit oyuncusu tarafından düzenlenen bir küresel bulut istismarı faaliyetleri kümesi hakkında kritik bir uyarı yayınladı.
Rusya’ya bağlı olarak yüksek güvenle değerlendirilen boş Blizzard, en azından Nisan 2024’ten beri siber sorumluluk operasyonlarını NATO Üye Devletleri ve Ukrayna’ya odaklayarak aktiftir.
Grubun birincil hedefleri, telekomünikasyon, bilgi teknolojisi, savunma, sağlık hizmetleri, hükümet, medya, STK ve ulaşım gibi kritik sektörleri, Rus stratejik hedeflerini destekleyen istihbarat toplamak için açık bir niyetle yer alıyor.
.png
)
Tehdit Oyuncu Siber Tesisat çabalarını yoğunlaştırır
Forest Blizzard ve Midnight Blizzard gibi diğer Rus devlet destekli aktörlerle hedeflemedeki örtüşme, casusluk ve istihbarat koleksiyonunda koordineli bir çabayı vurgular ve Ukrayna’yı askeri veya insani yardım yoluyla destekleyen uluslara daha fazla risk oluşturur.
Void Blizzard’ın operasyonları, gelişmiş kalıcı tehdit (APT) grupları arasında benzersiz bir şekilde sofistike olmasa da, kalıcı ve hedefli yaklaşımları nedeniyle endişe verici bir başarı göstermektedir.
Başlangıçta parola püskürtme ve muhtemelen suçlu infostealer ekosistemlerinden elde edilen çalıntı kimlik bilgilerine dayanarak, grup taktiklerini geliştirdi.
Nisan 2025’e kadar MSTIC, Avrupa ve Amerika Birleşik Devletleri’nde 20’den fazla STK’yı hedefleyen ortada düşman (AITM) mızrak kimlik avı kampanyaları kullanan boş Blizzard’ı gözlemledi.
Gelişmiş kimlik avı kampanyaları
Grup, Microsoft Entra Kimlik Doğrulama Portalını taklit eden bir yazım hatası kullanarak, kurbanları altyapılarında barındırılan kimlik avı sayfalarına yönlendiren QR kodları ile kötü niyetli PDF’ler kullandı.[.]com).
Açık kaynaklı EvilGinx çerçevesinden yararlanan Void Blizzard, kullanıcı adlarını, şifreleri ve oturum çerezlerini yakalar ve daha kesin ve aldatıcı başlangıç erişim tekniklerine doğru bir geçiş sergiler.
Grup sonrası grup, Exchange Online ve Microsoft Graph gibi meşru bulut API’lerini e-postaları ve dosyaları hasat etmek için kullanır ve genellikle paylaşılan posta kutuları ve erişilebilir dosya paylaşımları da dahil olmak üzere toplu veri toplamayı tehlikeye atılmış hesaplardan otomatikleştirir.
Seçim durumlarında, Microsoft Teams konuşmalarına eriştiler ve daha derin ağ keşifleri için Entra ID yapılandırmalarını haritalamak için Azurehound gibi araçları kullandılar.
Microsoft’un raporu, Void Blizzard gibi belirlenmiş aktörler tarafından kullanıldığında ilkel taktiklerin bile yarattığı kalıcı tehdidin altını çiziyor.
Grubun, daha önce diğer Rus GRU aktörleri tarafından hedeflenen Ukrayna havacılık örgütlerinin başarılı uzlaşmasında görülen kritik altyapıya odaklanması, Rusya’nın 2022 Ukrayna istilasından bu yana kilit sektörleri bozmaya devam eden ilgisini yansıtıyor.
ABD FBI’ının yanı sıra Hollanda’nın AIVD ve MIVD ile işbirlikçi çabaları, Blizzard’ın araçlarını analiz etmede ve farkındalığı artırmada çok önemlidir.
Microsoft, risk altındaki sektörlerdeki kuruluşları, bu tehditlere karşı koymak için özel algılamalar ve hafifletmeler uygulamaya çağırarak bulut ortamlarını güvence altına almanın ve kullanıcıları kimlik avı yemlerine karşı eğitmenin önemini vurgulamaktadır.
Boş Blizzard, fırsatçı kitle saldırılarını hedeflenen kampanyalarla harmanlayan yaklaşımını geliştirmeye devam ettikçe, küresel siber güvenlik topluluğu, hassas verileri ve kritik sistemleri bu kalıcı Ruslara bağlı düşmandan korumak için uyanık kalmalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!