Microsoft alertou sobre ataques amplos de roubo de credenciais por hackers russos
26 de Junho de 2023

A Microsoft divulgou que detectou um aumento nos ataques de roubo de credenciais realizados pelo grupo de hackers russo afiliado ao estado conhecido como Midnight Blizzard.

As invasões, que utilizaram serviços de proxy residencial para ocultar o endereço IP de origem dos ataques, visam governos, provedores de serviços de TI, ONGs, defesa e setores de fabricação críticos, segundo a equipe de inteligência de ameaças da gigante de tecnologia.

O Midnight Blizzard, anteriormente conhecido como Nobelium, também é rastreado pelos apelidos APT29, Cozy Bear, Iron Hemlock e The Dukes.

O grupo, que chamou a atenção mundial pelo comprometimento da cadeia de suprimentos da SolarWinds em dezembro de 2020, continuou a depender de ferramentas invisíveis em seus ataques direcionados a ministérios estrangeiros e entidades diplomáticas.

Isso é um sinal de como eles estão determinados a manter suas operações em execução apesar de terem sido expostos, o que os torna um ator particularmente formidável na área de espionagem.

"Esses ataques de credenciais usam uma variedade de técnicas de pulverização de senhas, força bruta e roubo de tokens", disse a Microsoft em uma série de tweets, acrescentando que o ator "também realizou ataques de replay de sessão para obter acesso inicial a recursos em nuvem aproveitando sessões roubadas provavelmente adquiridas por meio de venda ilícita".

A gigante da tecnologia também chamou a atenção do APT29 por seu uso de serviços de proxy residencial para rotear tráfego malicioso na tentativa de ocultar conexões feitas usando credenciais comprometidas.

"O ator provavelmente usou esses endereços IP por períodos muito curtos, o que poderia tornar o escopo e a remediação desafiadores", disse a Microsoft.

O desenvolvimento ocorre quando a Recorded Future detalhou uma nova campanha de spear-phishing orquestrada pelo APT28 (também conhecido como BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight e Fancy Bear) visando entidades governamentais e militares na Ucrânia desde novembro de 2021.

Os ataques utilizaram e-mails com anexos que exploram várias vulnerabilidades no software de webmail de código aberto Roundcube ( CVE-2020-12641 , CVE-2020-35730 e CVE-2021-44026 ) para realizar reconhecimento e coleta de dados.

Uma invasão bem-sucedida permitiu que os hackers de inteligência militar russos implantassem malware JavaScript malicioso que redirecionou os e-mails recebidos de indivíduos-alvo para um endereço de e-mail sob controle dos atacantes, além de roubar suas listas de contatos.

"A campanha exibiu um alto nível de preparação, transformando rapidamente o conteúdo de notícias em iscas para explorar os destinatários", disse a empresa de segurança cibernética.

"Os e-mails de spear-phishing continham temas de notícias relacionados à Ucrânia, com linhas de assunto e conteúdo espelhando fontes de mídia legítimas".

Mais importante ainda, a atividade é dita se entrelaçar com outro conjunto de ataques que utilizam uma falha zero-day no Microsoft Outlook ( CVE-2023-23397 ), que a Microsoft divulgou como empregada em "ataques direcionados limitados" contra organizações europeias.

A vulnerabilidade de escalonamento de privilégios foi abordada como parte das atualizações do Patch Tuesday lançadas em março de 2023.

As descobertas demonstram os persistentes esforços dos atores de ameaças russos na coleta de informações valiosas sobre várias entidades na Ucrânia e em toda a Europa, especialmente após a invasão em larga escala do país em fevereiro de 2022.

As operações de ciber-guerra visando alvos ucranianos foram notavelmente marcadas pela ampla implantação de malware limpador projetado para excluir e destruir dados, transformando-o em um dos primeiros exemplos de conflito híbrido em grande escala.

"O BlueDelta certamente continuará a priorizar alvos de organizações governamentais e do setor privado ucraniano para apoiar esforços militares russos mais amplos", concluiu a Recorded Future.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...