Microsoft ha revelado que ha detectado un aumento en los ataques de robo de credenciales realizados por el grupo de piratas informáticos afiliado al estado ruso conocido como Midnight Blizzard.
Las intrusiones, que hicieron uso de servicios de proxy residencial para ofuscar la dirección IP de origen de los ataques, apuntan a gobiernos, proveedores de servicios de TI, ONG, defensa y sectores de fabricación críticos, dijo el equipo de inteligencia de amenazas del gigante tecnológico.
Midnight Blizzard, anteriormente conocido como Nobelium , también se rastrea bajo los apodos APT29, Cozy Bear, Iron Hemlock y The Dukes.
El grupo , que atrajo la atención mundial por el compromiso de la cadena de suministro de SolarWinds en diciembre de 2020, ha seguido confiando en herramientas invisibles en sus ataques dirigidos a ministerios de relaciones exteriores y entidades diplomáticas.
Es una señal de cuán decididos están a mantener sus operaciones en funcionamiento a pesar de estar expuestos, lo que los convierte en un actor particularmente formidable en el área de espionaje.
«Estos ataques de credenciales utilizan una variedad de técnicas de robo de contraseñas, fuerza bruta y robo de tokens», dijo Microsoft en una serie de tuits, y agregó que el actor «también realizó ataques de repetición de sesiones para obtener acceso inicial a los recursos de la nube aprovechando sesiones robadas probablemente adquiridas». a través de la venta ilícita».
El gigante tecnológico también llamó a APT29 por su uso de servicios de proxy residencial para enrutar el tráfico malicioso en un intento de ofuscar las conexiones realizadas con credenciales comprometidas.
«El actor de amenazas probablemente usó estas direcciones IP durante períodos muy cortos, lo que podría dificultar el alcance y la remediación», dijeron los fabricantes de Windows.
El desarrollo se produce cuando Recorded Future detalló una nueva campaña de phishing dirigido por APT28 (también conocido como BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight y Fancy Bear) dirigida a entidades gubernamentales y militares en Ucrania desde noviembre de 2021.
Los ataques aprovecharon los correos electrónicos que contenían archivos adjuntos que explotaban múltiples vulnerabilidades en el software de correo web Roundcube de código abierto ( CVE-2020-12641 , CVE-2020-35730 y CVE-2021-44026 ) para realizar reconocimiento y recopilación de datos.
Una violación exitosa permitió a los piratas informáticos de la inteligencia militar rusa implementar un malware JavaScript falso que redirigió los correos electrónicos entrantes de las personas seleccionadas a una dirección de correo electrónico bajo el control de los atacantes, así como robar sus listas de contactos.
«La campaña mostró un alto nivel de preparación, y convirtió rápidamente el contenido de noticias en señuelos para explotar a los destinatarios», dijo la compañía de seguridad cibernética . «Los correos electrónicos de spear-phishing contenían temas de noticias relacionados con Ucrania, con líneas de asunto y contenido que reflejan fuentes de medios legítimas».
Más importante aún, se dice que la actividad encaja con otro conjunto de ataques que arman una falla de día cero en Microsoft Outlook ( CVE-2023-23397 ) que Microsoft reveló como empleada en «ataques dirigidos limitados» contra organizaciones europeas.
La vulnerabilidad de escalada de privilegios se solucionó como parte de las actualizaciones de Patch Tuesday implementadas en marzo de 2023.
Los hallazgos demuestran los esfuerzos persistentes de los actores de amenazas rusos para recopilar inteligencia valiosa sobre varias entidades en Ucrania y en toda Europa, especialmente después de la invasión a gran escala del país en febrero de 2022 .
Las operaciones de guerra cibernética dirigidas a objetivos ucranianos se han caracterizado notablemente por el despliegue generalizado de malware de limpieza diseñado para eliminar y destruir datos, convirtiéndolo en uno de los primeros casos de conflicto híbrido a gran escala.
«Es casi seguro que BlueDelta continuará dando prioridad a las organizaciones gubernamentales y del sector privado de Ucrania para apoyar los esfuerzos militares rusos más amplios», concluyó Recorded Future.
Fuente y redacción: thehackernews.com