Microsoft ha revelado que ha detectado un aumento en los ataques de robo de credenciales realizados por el grupo de piratas informáticos afiliado al estado ruso conocido como Midnight Blizzard.
Las intrusiones, que utilizaron servicios de proxy residencial para ofuscar la dirección IP de origen de los ataques, apuntan a gobiernos, proveedores de servicios de TI, ONG, defensa y sectores de fabricación críticos, dijo el equipo de inteligencia de amenazas del gigante tecnológico.
Ventisca de medianoche, anteriormente conocida como Nobeliotambién se rastrea bajo los apodos APT29, Cozy Bear, Iron Hemlock y The Dukes.
El grupo, que atrajo la atención mundial por el compromiso de la cadena de suministro de SolarWinds en diciembre de 2020, ha seguido confiando en herramientas invisibles en sus ataques dirigidos a ministerios de relaciones exteriores y entidades diplomáticas.
Es una señal de cuán decididos están a mantener sus operaciones en funcionamiento a pesar de estar expuestos, lo que los convierte en un actor particularmente formidable en el área de espionaje.
«Estos ataques de credenciales utilizan una variedad de técnicas de robo de contraseñas, fuerza bruta y robo de tokens», Microsoft dicho en una serie de tuits, agregó que el actor «también realizó ataques de repetición de sesión para obtener acceso inicial a los recursos de la nube aprovechando las sesiones robadas probablemente adquiridas a través de una venta ilícita».
El gigante tecnológico llamó además a APT29 por su uso de servicios de proxy residencial para enrutar el tráfico malicioso en un intento de ofuscar conexiones hecho usando credenciales comprometidas.
«El actor de amenazas probablemente usó estas direcciones IP durante períodos muy cortos, lo que podría dificultar el alcance y la remediación», dijeron los fabricantes de Windows.
El desarrollo se produce cuando Recorded Future detalló una nueva campaña de phishing dirigido por APT28 (también conocido como BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight y Fancy Bear) dirigida a entidades gubernamentales y militares en Ucrania desde noviembre de 2021.
El ataques correos electrónicos aprovechados con archivos adjuntos que explotan múltiples vulnerabilidades en el software de correo web Roundcube de código abierto (CVE-2020-12641, CVE-2020-35730y CVE-2021-44026) para llevar a cabo el reconocimiento y la recopilación de datos.
Una violación exitosa permitió a los piratas informáticos de la inteligencia militar rusa implementar un malware JavaScript falso que redirigió los correos electrónicos entrantes de las personas seleccionadas a una dirección de correo electrónico bajo el control de los atacantes, así como robar sus listas de contactos.
«La campaña mostró un alto nivel de preparación, y convirtió rápidamente el contenido de las noticias en señuelos para explotar a los destinatarios», dijo la compañía de seguridad cibernética. dicho. «Los correos electrónicos de spear-phishing contenían temas de noticias relacionados con Ucrania, con líneas de asunto y contenido que reflejan fuentes de medios legítimas».
Más importante aún, se dice que la actividad encaja con otro conjunto de ataques que arman una falla de día cero en Microsoft Outlook (CVE-2023-23397) que Microsoft reveló como empleados en «ataques dirigidos limitados» contra organizaciones europeas.
La vulnerabilidad de escalada de privilegios se solucionó como parte de las actualizaciones de Patch Tuesday implementadas en marzo de 2023.
Los hallazgos demuestran los esfuerzos persistentes de los actores de amenazas rusos para recopilar inteligencia valiosa sobre varias entidades en Ucrania y en toda Europa, especialmente después de la invasión a gran escala del país en febrero 2022.
El operaciones de guerra cibernética dirigidos a objetivos ucranianos se han caracterizado notablemente por la despliegue de malware de limpieza diseñado para eliminar y destruir datos, convirtiéndolo en uno de los primeros casos de conflicto híbrido a gran escala.
«Es casi seguro que BlueDelta continuará dando prioridad a las organizaciones gubernamentales y del sector privado de Ucrania para apoyar los esfuerzos militares rusos más amplios», concluyó Recorded Future.