Hollandalı istihbarat yetkilileri ve Microsoft bugün Batılı organizasyonları hedefleyen yeni bir Rus tehdit oyuncusu ile askeri ve yüksek teknoloji casusluk kampanyası gibi görünen uyardı.
Microsoft tarafından Hollandalı ve Boş Blizzard tarafından Çamaşırhane Bear olarak adlandırılan yeni tehdit grubu, bugün ayrı tavsiyelerde bulundu. Hollanda Genel İstihbarat ve Güvenlik Servisi (AIVD) ve Hollanda Savunma İstihbarat ve Güvenlik Servisi (MIVD) ortak bir danışmanlık yayınlarken, Microsoft grupta ayrı bir blog yayınladı.
Tehdit grubu tipik olarak Microsoft e -posta ortamlarını çalıntı çerezler ve şifre püskürtme gibi saldırı teknikleriyle hedefler, ardından tespit edilmesi zor kalırken saldırısını oradan genişletir.
Askeri ve yüksek teknoloji casusluğu çamaşır ayı hedefidir
Hollanda danışmanlığında, ajanslar, çamaşır ayı/boş Blizzard’ın “Avrupa Birliği ve NATO üye ülkelerine özel bir ilgisi olan çok sayıda hükümet kuruluşundan, ticari kuruluşlardan ve dünyadaki diğer kuruluşlardan hassas bilgilere başarıyla erişim sağladığını” söyledi.
Tehdit grubu büyük ölçüde bulut tabanlı e-posta ortamlarını, özellikle de değişim sunucularını, “e-posta mesajlarının büyük ölçekli hırsızlığı ve bir kuruluşun küresel adres listesi (GAL) gibi e-posta kişileriyle ilgili diğer bilgilerle ilgili” hedefliyor. Bazı durumlarda grup, bulut sunucularında depolanan veriler de dahil olmak üzere dosya almayı başardı.
2024’te çamaşır ayı, savunma müteahhitlerine, havacılık firmalarına ve askeri üretime katılan diğer yüksek teknolojili işletmelere saldırdı ve “Batı hükümetleri tarafından askeri malların tedariki ve üretimi ve Batı ülkelerinden Ukrayna’ya silah teslimatları” elde etme amacıyla muhtemel. Grup “askeri malların üretimi ve teslimi ve ilgili bağımlılıklar hakkında bir dereceye kadar bilgiye sahip gibi görünüyor.”
Laundry Bear ayrıca “Rusya’nın Batı yaptırımları nedeniyle elde etmesi zor olan ileri teknolojiler üreten” işletmelere de saldırdı. Sivil organizasyonlar ve işletmeler de, kurumsal müşteriler ve devlet kuruluşları ve bazı kritik sektörlere yönelik dijital hizmet sağlayıcılar da dahil olmak üzere BT ve yüksek teknoloji sektörlerinde de hedef alınmıştır.
Hollanda danışmanlığı, “Hizmetler tarafından soruşturma altındaki diğer bazı Rus tehdit aktörlerine kıyasla, Çamaşırhane Bear’ın yüksek bir başarı oranı var” dedi.
Çamaşırhane ayı/void blizzard saldırı teknikleri
Hollandaca raporu, Pass-the Cookie saldırıları (muhtemelen Infostealer kötü amaçlı yazılımlar tarafından çalınan ve bir ceza pazarında çamaşır ayı tarafından satın alınan) ve şifre püskürtme gibi ayrıntılı saldırı teknikleri.
Bir hesaba erişim elde ettikten sonra, grup “uzlaşmış sistemlerden e -posta mesajlarını ölçeklendirebilir. Bazı durumlarda, Hollanda hizmetleri, çamaşır ayısının, daha sonraki operasyonlar için giriş bilgilerini toplamak için bilinen güvenlik açıklarından yararlandığı tehlikeye atılmış SharePoint ortamlarından veri çaldığını tespit etti.”
Grup, temel ağlara veya sistemlere erişimini genişletmeye çalışmadan Microsoft hesaplarına mevcut erişimi kısıtladığı için, “ağ ve sistem yöneticilerinin radarı altında nispeten kolay ve uzun bir süre için uçmuş gibi görünüyor” dedi.
Hollanda danışmanlığı, Çamaşırhane Bear ve APT28 Rus devlet destekli tehdit oyuncusu arasındaki benzerlikleri kaydetti, ancak grupların “iki farklı tehdit aktörü” olduğunu söyledi.
Microsoft STK kampanyasını detaylandırıyor
Microsoft, Avrupa ve ABD’de 20’den fazla sivil toplum kuruluşunu (STK) hedefleyen Nisan 2025 Middle-in-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-phaar kimlik avı kampanyasını detaylandırdı.
“Ekte, Blizzard altyapısını geçersiz kılmaya yönlendiren kötü niyetli bir QR kodu içeriyordu Micsrosoftonline[.]comMicrosoft Entra kimlik doğrulama sayfasını sahte bir kimlik avı sayfası barındıran, ”dedi Microsoft.“ Void Blizzard’ın AITM kimlik avı kampanyasını yürütmek ve giriş kullanıcı adı ve şifre ve sunucu tarafından üretilen çerezler de dahil olmak üzere kimlik doğrulama verilerini çalmak için açık kaynak saldırı çerçevesini kullandığını değerlendiriyoruz. ”Dedi.
Microsoft ayrıca, Teams Web istemcisi uygulaması aracılığıyla Microsoft Teams konuşmalarına ve mesajlarına erişen tehdit oyuncusunu da gözlemledi. Tehdit oyuncusu, kiracının kullanıcıları, rolleri, grupları, uygulamaları ve cihazları hakkında bilgi edinmek için halka açık Azurehound aracını kullanarak tehlikeye atılan bir kuruluşun Microsoft Entra kimlik yapılandırmasını da numaralandırdı.
Çamaşırta ayı/boş blizzard’a karşı korunma
Hollandalı ve Microsoft danışmanları, riskli işaretlere otomatik yanıtların uygulanması, çok faktörlü kimlik doğrulama, tek oturum açma, sıfır güven prensipleri, çerez ekspresyonu ve yeniden denetleme ve denetim ve anomali tespiti de dahil olmak üzere tehdit grubuna karşı korunmak için kapsamlı rehberlik içerir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.