Сообщается, что российские военные хакеры используют скомпрометированные учетные записи Microsoft 365 для нападения на компании в США и на сегодняшний день успешно взломали до 40 компаний.
Новенький отчет Исследователи из Microsoft утверждают, что обнаружили группу, которую они отслеживают, как Midnight Blizzard (также известную как NOBELIUM или Cozy Bear) — известную спонсируемую российским государством хакерскую группировку. По-видимому, группа использовала учетные записи Microsoft 365, принадлежащие различным малым предприятиям по всей стране, украденные в ходе предыдущих атак, для нападения на определенные компании с помощью фишинговых сообщений и приманок социальной инженерии, распространяемых через Microsoft Teams. Судя по всему, хакеры выдавали себя за сотрудников службы технической поддержки и пытались заставить своих жертв поделиться с ними учетными данными для входа и ключами многофакторной аутентификации (MFA).
По словам Microsoft, Midnight Blizzard занимается кибершпионажем и сбором данных, при этом основными целями являются государственные компании, неправительственные организации (НПО), ИТ-услуги, технологии, дискретное производство и медиа-секторы. Группу больше всего интересуют организации, проживающие на Западе, либо в Европе, либо в Соединенных Штатах.
Microsoft также заявила, что кампания затронула «менее 40 уникальных глобальных организаций» и что она заблокировала доступ к скомпрометированным доменам, предполагая, что вектор атаки кампании был отключен. Компания добавила, что скомпрометированные компании были уведомлены.
В некоторых случаях NOBELIUM также обращался к компаниям, системы которых защищены многофакторной аутентификацией. Не вдаваясь в подробности, Microsoft заявила, что злоумышленники смогли обойти MFA, обманом заставив жертв поделиться ключом на основе времени.
В отчете делается вывод, что Midnight Blizzard использует широкий спектр распространенных методов в своих кампаниях, добавляя, что группа не уклоняется от добавления новых методов и передовых подходов к своим атакам. До сих пор группа использовала EnvyScout, BoomBox, NativeZone и VaporRage как часть своего набора инструментов.
Как объяснил Кровоточащий компьютер, EnvyScout — это вредоносное вложение файла HTML/JS, используемое в адресных фишинговых электронных письмах для получения учетных данных NTLM для учетных записей Windows. Он также может действовать как дроппер полезной нагрузки. BoomBox — это вредоносный дроппер, используемый для удаления двух оставшихся имен в списке — NativeZone и VaporRage.
Анализ: почему это важно?
Полуночная метель представляет собой достаточную опасность, чтобы быть в центре внимания правительств США и Великобритании. Судя по всему, им управляет Служба внешней разведки Российской Федерации — СВР. Эти хакеры обычно нацелены на высокопоставленных лиц, таких как политики и дипломаты, журналисты, интеллектуалы и другие, но они также нацелены на поставщиков ИТ-услуг и поставщиков критической инфраструктуры.
Цель работы Midnight Blizzard — собрать разведданные и узнать как можно больше о внутренней работе дипломатов на Западе. Учитывая текущую ситуацию вокруг Украины, а также в других местах, где Россия может иметь некоторое влияние, например, в Нигере, сбор разведывательных данных важен как никогда.
По словам Microsoft, первые следы существования Midnight Blizzard относятся к 2018 году. Ранее за группой наблюдали с помощью вредоносных программ службы федерации Active Directory (ADFS) под названием FOGGYWEB и MAGICWEB. В последнее время он стал всемирно известен печально известной атакой SolarWinds.
Что другие говорят о Midnight Blizzard?
В мае 2021 г. CNBC сообщил о том, что российская компания Nobelium использует систему электронной почты USAID для рассылки фишинговых сообщений. В то время было отправлено более 3000 вредоносных электронных писем, причем не менее четверти жертв занимались международным развитием, гуманитарной деятельностью и правозащитной деятельностью. Хотя большинство целей находились в Соединенных Штатах, жертвы были разбросаны по 24 странам.
Microsoft довольно активно отслеживала группу. В октябре 2021 года Том Берт, корпоративный вице-президент Microsoft по безопасности и доверию клиентов, выпустил Сообщение блога о недавней деятельности группы и утверждал, что злоумышленник также стоял за атакой SolarWinds в 2020 году, выдавая себя за доверенного технологического партнера организации, чтобы получить доступ к своим нижестоящим клиентам», — пояснил он в то время.
В то время Берт объяснил последнюю активность новым признаком того, что Россия пытается получить «долгосрочный систематический доступ» к ряду точек в цепочке поставок технологий. Месяц спустя в отдельной статье Microsoft Midnight Blizzard была названа «самой изощренной атакой национального государства в истории».
Всего за несколько недель до этого инцидента, 21 июня этого года, Microsoft активизировалась. Твиттер чтобы предупредить своих клиентов о Midnight Blizzard, заявив, что группа увеличивает активность атаки на учетные данные. «Эти атаки нацелены на правительства, поставщиков ИТ-услуг, НПО, оборонную промышленность и критически важное производство», — говорится в твите. «Эти атаки на учетные данные используют различные методы распыления паролей, грубой силы и кражи токенов. Midnight Blizzard (NOBELIUM) также проводила атаки с повторением сеанса, чтобы получить начальный доступ к облачным ресурсам, которые используют украденные сеансы, вероятно, полученные в результате незаконных продаж», — пояснила Microsoft. .
Иди глубже
Если вы хотите узнать больше, обязательно прочитайте наше предыдущее освещение Nobelium, особенно взлом SolarWinds. Вы также должны обязательно прочитать наши подробные руководства по лучшим брандмауэрам и лучшим инструментам защиты конечных точек.
