Сообщается, что российские военные хакеры используют скомпрометированные учетные записи Microsoft 365 для нападения на компании в США и на сегодняшний день успешно атаковали до 40 компаний.
новый отчет Исследователи Microsoft утверждают, что обнаружили группу, которую они отслеживают, как Midnight Blizzard (также известную как NOBELIUM или Cozy Bear) — известную спонсируемую российским государством хакерскую группировку. Судя по всему, группа использовала учетные записи Microsoft 365, принадлежащие различным малым предприятиям по всей стране и украденные в ходе предыдущих атак, для нападения на определенные компании с помощью фишинговых сообщений и приманок социальной инженерии, распространяемых через Microsoft Teams. Судя по всему, хакеры выдавали себя за сотрудников службы технической поддержки и пытались обманом заставить своих жертв поделиться с ними учетными данными и ключами MFA (многофакторной аутентификации).
Microsoft заявила, что Midnight Blizzard занимается кибершпионажем и сбором данных, при этом основными целями являются правительство, неправительственные организации (НПО), ИТ-услуги, технологии, дискретное производство и медиа-компании. Группа особенно заинтересована в компаниях, базирующихся на западе, в Европе или в Соединенных Штатах.
Microsoft также заявила, что кампания затронула «менее 40 уникальных глобальных организаций» и что она заблокировала доступ к скомпрометированным доменам, предполагая, что вектор атаки кампании отключен. Компания добавила, что скомпрометированные компании были уведомлены.
В некоторых случаях NOBELIUM также предназначался для компаний, системы которых защищены многофакторной аутентификацией. Не вдаваясь в подробности, Microsoft заявила, что злоумышленникам удалось обойти MFA, обманом заставив жертв своевременно поделиться ключом на основе времени.
В отчете говорится, что Midnight Blizzard использует широкий спектр распространенных методов в своих кампаниях, добавляя, что группа не стесняется добавлять новые методы и передовые подходы к атакам. До сих пор группа использовала EnvyScout, BoomBox, NativeZone и VaporRage как часть своего набора инструментов.
Как объяснил Пищит компьютерEnvyScout — это вредоносное вложение файла HTML/JS, используемое в адресных фишинговых письмах для кражи учетных данных NTLM из учетных записей Windows. Он также может служить пусковой установкой полезной нагрузки. BoomBox — это дроппер вредоносного ПО, который используется для удаления двух оставшихся имен в списке — NativeZone и VaporRage.
Анализ: Почему это важно?
Полуночный шторм достаточно опасен, чтобы быть в центре внимания правительств США и Великобритании. Судя по всему, им руководит Служба внешней разведки Российской Федерации (СВР). Эти хакеры обычно нацелены на видных деятелей, таких как политики и дипломаты, журналисты, интеллектуалы и другие, но они также нацелены на поставщиков ИТ-услуг и поставщиков критической инфраструктуры.
Цель работы Midnight Blizzard — собрать информацию и узнать как можно больше о внутренней работе дипломатов на Западе. Учитывая текущую ситуацию вокруг Украины, а также в других местах, где Россия может иметь некоторое влияние, таких как Нигер, сбор разведывательных данных важен как никогда.
По словам Microsoft, первые следы существования Midnight Blizzard относятся к 2018 году. В прошлом группа была замечена с использованием вредоносных программ ADFS (Active Directory Federation Service) под названием FOGGYWEB и MAGICWEB. Совсем недавно он получил всемирную известность за печально известную атаку SolarWinds.
Что другие говорят о Midnight Blizzard?
в мае 2021 г., CNBC сообщил, что российская компания Nobelium использовала систему электронной почты USAID для рассылки фишинговых сообщений. В то время было отправлено более 3000 вредоносных электронных писем, причем не менее четверти жертв работали в сфере международного развития, гуманитарной деятельности и правозащитной деятельности. Хотя большинство целей находились в Соединенных Штатах, жертвы были разбросаны по 24 странам.
Microsoft активно отслеживала группу. В октябре 2021 года Том Берт, корпоративный вице-президент Microsoft по безопасности и доверию клиентов, выпустил запись в блоге о недавней деятельности группы и утверждал, что злоумышленник также стоял за атакой SolarWinds в 2020 году. «Мы считаем, что Nobelium в конечном счете надеется использовать прямой доступ, который реселлеры могут иметь к ИТ-системам своих клиентов, и более легко изображать из себя надежного технологического партнера компании, чтобы получить доступ к ее последующим клиентам», — пояснил он в то время.
В то время Берт сказал, что недавняя активность стала новым показателем того, что Россия пытается получить «долгосрочный систематический доступ» к различным точкам в цепочке поставок технологий. Месяц спустя в отдельной статье Microsoft Midnight Blizzard названа «самой изощренной атакой на национальное государство в истории».
Всего за несколько недель до этого инцидента, 21 июня этого года, Microsoft ответила Твиттер чтобы предупредить своих клиентов о Midnight Blizzard, и сообщил, что группа увеличила свою активность в отношении атак на учетные данные. «Эти атаки нацелены на правительства, поставщиков ИТ-услуг, неправительственные организации, оборонную промышленность и ключевые производственные компании», — говорится в твите. «Эти атаки на учетные данные используют различные методы распыления паролей, грубой силы и кражи токенов. «Midnight Blizzard (NOBELIUM) также проводила атаки повторного воспроизведения сеанса, чтобы получить первоначальный доступ к облачным ресурсам, используя украденные сеансы, которые, вероятно, были приобретены в результате незаконной продажи», — пояснили в Microsoft.
идти глубже
Если вы хотите узнать больше, обязательно ознакомьтесь с нашим предыдущим обзором Nobelium, особенно взлома SolarWinds. Кроме того, обязательно ознакомьтесь с нашими подробными руководствами по лучшим брандмауэрам и лучшим инструментам защиты конечных точек.
