Microsoft arroja luz sobre un grupo de actividades maliciosas previamente indocumentadas que se originan a partir de un actor de amenaza relacionado con el ruso llamado actor de amenaza afiliada a ruso (también conocido como Lavry Bear), de quien se dice que se atribuye al «abuso de las nubes del mundo».
Los grupos de piratería, que han estado activos desde al menos abril de 2024, están vinculados principalmente al espionaje dirigido a organizaciones que son importantes para los objetivos del gobierno ruso, incluidos el gobierno, la defensa, el transporte, los medios de comunicación, las organizaciones no gubernamentales (ONG) y los sectores de atención médica en Europa y América del Norte.
«A menudo usan detalles de inicio de sesión robados que probablemente se comprarán en el mercado en línea para acceder a su organización», dijo el equipo de inteligencia de amenazas de Microsoft en un informe publicado hoy. «Cuando entran, roban muchos correos electrónicos y archivos».
Se ha encontrado que los ataques unidos por Void Blizzard son desproporcionadamente solteros países de la OTAN y Ucrania, lo que sugiere que el enemigo está tratando de reunir inteligencia para reunir más objetivos estratégicos rusos.
Específicamente, se sabe que los actores de amenaza se dirigen a organizaciones gubernamentales y agencias de aplicación de la ley de la OTAN y países que brindan asistencia militar o humanitaria directa a Ucrania. También se dice que atacó con éxito las industrias de educación, transporte y defensa de Ucrania.
Esto incluye el compromiso de octubre de 2024 en varias cuentas de usuarios pertenecientes a la Organización de Aviación de Ucrania previamente atacada por Seashell Blizzard, un actor de amenaza vinculado a la Oficina de Inteligencia Principal del Estado Mayor Ruso (GRU), en 2022.
El ataque se caracteriza como un esfuerzo oportunista, objetivo y masivo diseñado para violar los objetivos considerados valiosos por el gobierno ruso. El método de acceso inicial consiste en técnicas de inserción, como la pulverización de contraseñas y las credenciales de autenticación robadas.
En algunas campañas, los actores de amenaza están utilizando credenciales robadas que probablemente provengan de los registros de información de información de productos disponibles en Cyber Crime Underground para cosechar intercambios y archivos de SharePoint Online y SharePoint Online, así como organizaciones comprometidas.
«Los actores de amenazas también utilizaron herramientas de AzureHound disponibles públicamente para enumerar las configuraciones de ID de Microsoft Entra para organizaciones comprometidas para obtener información sobre usuarios, roles, grupos, aplicaciones y dispositivos que pertenecen a ese inquilino», dijo Microsoft.
Al igual que el mes pasado, los fabricantes de Windows dijeron que observaron que los equipos de piratería cambiaron a «métodos más directos» y «métodos más directos» para robar contraseñas. Por ejemplo, puede usar la página de destino del atacante (AITM) para enviar un correo electrónico de phishing de lanza diseñado para engañar a la víctima para que divida su información de inicio de sesión.
Esta actividad requiere el uso de un dominio tipográfico, haciéndose pasar por el portal de autenticación de Microsoft Entra para apuntar a más de 20 ONG en Europa y los Estados Unidos. Se afirmó que el mensaje de correo electrónico era de los organizadores de la Cumbre Europea de Defensa y Seguridad y contenía un archivo adjunto PDF que contenía una invitación falsa a la cumbre.
El deseo actual de un documento PDF es un código QR malicioso que se redirige al dominio de control del atacante («MicsRosoftonline (.) Com»). Se cree que la página de phishing se basa en un kit de phishing de código abierto.
Acciones posteriores al efecto después de obtener acceso inicial y abuso de gráficos de Microsoft enumeran los buzones de los usuarios y los archivos de host en la nube, aprovechando la automatización para facilitar la recopilación de datos a granel. En algunos casos, también se dice que los actores de amenaza han accedido a las conversaciones y mensajes del equipo de Microsoft a través de aplicaciones de clientes web.
«Muchas de las organizaciones infringidas se superponen en el pasado, o en algunos casos, al mismo tiempo por otros actores nacionales rusos conocidos, como Forest Blizzard, Midnight Blizzard y Secret Blizzard», dijo Microsoft. «Esta intersección sugiere el interés de la colección compartida de espía e inteligencia asignada a la organización matriz de estos actores de amenaza».
Tormenta de nieve inválida vinculada a una violación de septiembre de la agencia de policía holandesa
Otro consejo declaró que la Agencia de Inteligencia de Defensa Holandesa (MIVD) declaró que el 23 de septiembre de 2024, esa información de contacto relacionada con el trabajo del empleado de la policía fue obtenida por líderes de amenazas debido a las violaciones de las cuentas de los empleados de la policía holandesa a través de un ataque de cookie de aprobación.
Un ataque de cookie Pass es un escenario en el que un atacante usa cookies robadas obtenidas a través de Information Steeler Malware para iniciar sesión en una cuenta sin ingresar un nombre de usuario y contraseña. Actualmente, actualmente no se sabe si se robó otra información, pero es probable que otras organizaciones holandesas también hayan sido atacadas.
«Landry Bear está buscando información sobre la compra y producción de equipos militares por parte del gobierno occidental y está buscando el suministro occidental de armas a Ucrania», dijo el almirante Peter Leesink, director general de MIVD, en un comunicado.
Source link
