Microsoft, Rusya’ya bağlı bir tehdit aktöründen kaynaklanan daha önce belgesiz bir tehdit faaliyet kümesine ışık tuttu Boş blizzard (aka çamaşır ayı) “dünya çapında bulut istismarı” na atfedildiğini söyledi.
En azından Nisan 2024’ten bu yana aktif olan hack grubu, esas olarak hükümet, savunma, ulaşım, medya, sivil toplum kuruluşları (STK’lar) ve Avrupa ve Kuzey Amerika’daki sağlık sektörleri de dahil olmak üzere Rus hükümet hedefleri için önemli olan kuruluşları hedefleyen casusluk operasyonlarıyla bağlantılıdır.
Microsoft Tehdit İstihbarat Ekibi bugün yayınlanan bir raporda, “Genellikle kuruluşlara erişmek için çevrimiçi pazarlardan satın aldıkları çalıntı oturum açma ayrıntılarını kullanıyorlar.” Dedi. “İçeri girdikten sonra büyük miktarda e -posta ve dosya çalıyorlar.”
Void Blizzard tarafından monte edilen saldırıların, NATO Üye Devletleri ve Ukrayna’nın orantısız bir şekilde çıktığı bulunmuştur, bu da düşmanın Rus stratejik hedeflerine istihbarat toplamak istediğini düşündürmektedir.
Özellikle, tehdit aktörünün NATO üye ülkelerinde ve Ukrayna’ya doğrudan askeri veya insani destek sağlayan ülkelerdeki hükümet kuruluşlarını ve kolluk kuvvetlerini hedeflediği bilinmektedir. Ayrıca Ukrayna’daki eğitim, ulaşım ve savunma sektörlerine yönelik başarılı saldırılar düzenlediği söyleniyor.
Bu, 2022’de Rusya Genel Personeli Ana İstihbarat Müdürlüğü’ne (GRU) bağlı bir tehdit oyuncusu olan Seashell Blizzard tarafından hedeflenen bir Ukrayna havacılık örgütüne ait birkaç kullanıcı hesabının Ekim 2024 uzlaşmasını içeriyor.
Saldırılar, Rus hükümetine değer olarak kabul edilen hedefleri ihlal etmek için tasarlanan fırsatçı ve hedefli yüksek hacimli çabalar olarak nitelendiriliyor. Başlangıç erişim yöntemleri, şifre püskürtme ve çalıntı kimlik doğrulama kimlik bilgileri gibi sofistike olmayan teknikler içerir.
Bazı kampanyalarda, tehdit oyuncusu, alışveriş ve SharePoint Online’a erişmek için Siber Sarmalayı Metro -Stealer Stealer günlüklerinden kaynaklanan çalıntı kimlik bilgilerini kullandı.
Microsoft, “Tehdit oyuncusu ayrıca bazı durumlarda, bu kiracıya ait kullanıcılar, roller, gruplar, uygulamalar ve cihazlar hakkında bilgi kazanmak için halka açık Azurehound aracını kullanarak tehlikeye atılan kuruluşun Microsoft Entra Kimlik yapılandırmasını numaralandırdı.” Dedi.
Geçen ay olduğu gibi, Windows Maker, hack mürettebatının, kurbanları ortada (AITM) iniş sayfaları aracılığıyla kurbanlarını oturtmak için tasarlamak için tasarlanan mızrak-aktı e-postaları göndermek gibi şifreleri çalmak için “daha doğrudan yöntemlere” kaydırdığını söyledi.
Etkinlik, Avrupa ve Amerika Birleşik Devletleri’nde 20’den fazla STK’yı hedeflemek için Microsoft Entra Kimlik Doğrulama Portalını taklit etmek için yazım hatalı bir alanın kullanılmasını gerektirir. E -posta mesajları, Avrupa Savunma ve Güvenlik Zirvesi’nden bir organizatörden olduğu iddia edildi ve zirveye sahte davetiyeler içeren bir PDF eki içeriyordu.
PDF belgesinin, saldırgan kontrollü bir alana yönlendiren kötü niyetli bir QR kodudur (“Micsrosoftonline[.]com “) bir kimlik kimlik avı sayfasına ev sahipliği yapan.
Başlangıç erişimini kazandıktan sonra, işbirliği sonrası eylemler, kullanıcıların posta kutularını ve bulut barındıran dosyaları numaralandırmak için Exchange Online ve Microsoft grafiğinin kötüye kullanılmasını kapsar ve daha sonra toplu veri toplamayı kolaylaştırmak için otomasyondan yararlanır. Belirli örneklerde, tehdit aktörlerinin Web istemcisi uygulaması aracılığıyla Microsoft Teams konuşmalarına ve mesajlarına eriştiği söylenir.
Microsoft, “Uzak ihlal edilen kuruluşların çoğu, Forest Blizzard, Midnight Blizzard ve Gizli Blizzard dahil olmak üzere diğer tanınmış Rus devlet aktörleri tarafından geçmiş-ya da bazı durumlarda eşzamanlı olarak-örtüşüyor.” Dedi. Diyerek şöyle devam etti: “Bu kavşak, bu tehdit aktörlerinin ana kuruluşlarına atanan ortak casusluk ve istihbarat toplama çıkarlarını öneriyor.”