Microsoft a révélé avoir détecté un pic d’attaques de vol d’informations d’identification menées par le groupe de hackers affilié à l’État russe connu sous le nom de Midnight Blizzard.
Les intrusions, qui ont utilisé des services proxy résidentiels pour masquer l’adresse IP source des attaques, ciblent les gouvernements, les fournisseurs de services informatiques, les ONG, la défense et les secteurs manufacturiers critiques, a déclaré l’équipe de renseignement sur les menaces du géant de la technologie.
Midnight Blizzard, anciennement connu sous le nom de nobéliumest également suivi sous les noms APT29, Cozy Bear, Iron Hemlock et The Dukes.
Le groupe, qui a attiré l’attention du monde entier sur la compromission de la chaîne d’approvisionnement de SolarWinds en décembre 2020, a continué de s’appuyer sur des outils invisibles dans ses attaques ciblées visant les ministères des Affaires étrangères et les entités diplomatiques.
C’est un signe de leur détermination à maintenir leurs opérations malgré leur dénonciation, ce qui en fait un acteur particulièrement redoutable dans le domaine de l’espionnage.
« Ces attaques d’informations d’identification utilisent une variété de techniques de pulvérisation de mots de passe, de force brute et de vol de jetons », a déclaré Microsoft. a dit dans une série de tweets, ajoutant que l’acteur « a également mené des attaques de relecture de session pour obtenir un accès initial aux ressources du cloud en exploitant des sessions volées probablement acquises via une vente illicite ».
Le géant de la technologie a en outre appelé APT29 pour son utilisation de services proxy résidentiels pour acheminer le trafic malveillant dans le but de obscurcir les connexions effectués à l’aide d’informations d’identification compromises.
« L’acteur de la menace a probablement utilisé ces adresses IP pendant de très courtes périodes, ce qui pourrait rendre la portée et la correction difficiles », ont déclaré les fabricants de Windows.
Le développement intervient alors que Recorded Future a détaillé une nouvelle campagne de harponnage orchestrée par APT28 (alias BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight et Fancy Bear) ciblant des entités gouvernementales et militaires en Ukraine depuis novembre 2021.
Le attaques exploiter les e-mails contenant des pièces jointes exploitant de multiples vulnérabilités dans le logiciel de messagerie Web open source Roundcube (CVE-2020-12641, CVE-2020-35730et CVE-2021-44026) pour effectuer des reconnaissances et la collecte de données.
Une brèche réussie a permis aux pirates du renseignement militaire russe de déployer des logiciels malveillants JavaScript malveillants qui redirigent les e-mails entrants d’individus ciblés vers une adresse e-mail sous le contrôle des attaquants et volent leurs listes de contacts.
« La campagne a fait preuve d’un haut niveau de préparation, transformant rapidement le contenu des actualités en leurres pour exploiter les destinataires », a déclaré la société de cybersécurité. a dit. « Les e-mails de harponnage contenaient des thèmes d’actualité liés à l’Ukraine, avec des objets et du contenu reflétant des sources médiatiques légitimes. »
Plus important encore, on dit que l’activité concorde avec un autre ensemble d’attaques militarisant une faille du jour zéro dans Microsoft Outlook (CVE-2023-23397) dont Microsoft a révélé qu’elles étaient employées dans des « attaques ciblées limitées » contre des organisations européennes.
La vulnérabilité d’escalade de privilèges a été corrigée dans le cadre des mises à jour du Patch Tuesday déployées en mars 2023.
Les résultats démontrent les efforts persistants des acteurs russes de la menace pour récolter des renseignements précieux sur diverses entités en Ukraine et dans toute l’Europe, en particulier après la invasion à grande échelle du pays en Février 2022.
Le opérations de cyberguerre visant des cibles ukrainiennes ont été notamment marqués par la généralisation déploiement de logiciels malveillants d’effacement conçus pour supprimer et détruire des données, les transformant en l’un des premiers cas de conflit hybride à grande échelle.
« BlueDelta continuera presque certainement à cibler en priorité le gouvernement ukrainien et les organisations du secteur privé pour soutenir des efforts militaires russes plus larges », a conclu Recorded Future.