据微软披露,近日检测到由俄罗斯国家附属黑客组织 "午夜暴雪 "进行的凭证窃取攻击激增。
微软的威胁情报团队说,入侵行为利用住宅代理服务来混淆攻击的源IP地址,目标是政府、IT服务提供商、非政府组织、国防和关键制造部门。
“午夜暴雪”以前被称为Nobelium,也以APT29、Cozy Bear、Iron Hemlock和The Dukes等名称被追踪过。
该组织在2020年12月因对 SolarWinds 高调攻击而引起全世界的关注,但在其针对外国部委和外交实体的目标攻击中,该组织依旧依靠隐蔽的工具。
这一迹象表明他们有强大的决心,即使在被曝光的情况下仍然保持他们的运作,这也使他们成为间谍领域可怕的存在。
微软在一系列推文中说:"这些凭证攻击使用了各种密码喷涂、暴力破解和令牌盗窃技术,同时还进行了会话重放攻击,利用可能通过非法销售获得的被盗会话获得对云资源的初始访问"。
微软进一步指出,APT29使用住宅代理服务来路由恶意流量,试图混淆使用受损凭证的连接。
自2021年11月以来,Recorded Future详细介绍了APT28(又名BlueDelta、Forest Blizzard、FROZENLAKE、Iron Twilight和Fancy Bear)针对乌克兰政府和军事实体策划的新的鱼叉式钓鱼活动。
这些攻击利用带有附件的电子邮件,以及开源Roundcube网络邮件软件的多个漏洞(CVE-2020-12641,CVE-2020-35730和CVE-2021-44026)来进行侦察和数据收集。
通过一个有效的漏洞使俄罗斯军事情报的黑客能够部署流氓的JavaScript恶意软件,将目标个人的电子邮件重定向到攻击者控制的电子邮件地址,并窃取他们的联系人名单。
随后,该特权升级漏洞已在2023年3月的 "补丁星期二 "中得到部分解决。
这些发现表明,俄罗斯的威胁者一直在努力收集关于乌克兰和整个欧洲的各种实体的有价值的情报,特别是在2022年2月俄乌战争爆发之后。
俄罗斯的威胁者在对乌克兰网络战行动中的显著特点是广泛部署旨在删除和破坏数据的雨刷恶意软件。
最后,Recorded Future总结道,"BlueDelta几乎肯定会继续优先针对乌克兰政府和私营部门组织,以更广泛的支持俄罗斯军事。