Attività malevola di Void Blizzard: minaccia russa nel cyberspazio
Microsoft ha recentemente rivelato dettagli su un cluster di attività malevola precedentemente non documentato, originato da un attore di minaccia affiliato alla Russia, noto come Void Blizzard (anche chiamato Laundry Bear). Questo gruppo di hacker, attivo almeno da aprile 2024, è collegato a operazioni di spionaggio che prendono di mira principalmente organizzazioni rilevanti per gli obiettivi del governo russo, tra cui enti governativi, difesa, trasporti, media, ONG e settori sanitari in Europa e Nord America.
Metodi di attacco e obiettivi
Gli attacchi di Void Blizzard si concentrano in modo sproporzionato sugli stati membri della NATO e sull’Ucraina, suggerendo che l’avversario stia cercando di raccogliere informazioni per promuovere gli obiettivi strategici russi. In particolare, l’attore di minaccia è noto per prendere di mira organizzazioni governative e agenzie di polizia nei paesi membri della NATO e in quelli che forniscono supporto militare o umanitario diretto all’Ucraina.
Tra gli attacchi di successo, si segnala la compromissione di diversi account utente appartenenti a un’organizzazione ucraina nel settore dell’aviazione nell’ottobre 2024, precedentemente presa di mira da Seashell Blizzard, un attore di minaccia legato alla Direzione principale dell’intelligence dello Stato Maggiore Generale russo (GRU) nel 2022.
Tecniche di accesso iniziale
Le tecniche di accesso iniziale utilizzate da Void Blizzard comprendono metodi non sofisticati come il password spraying e l’uso di credenziali di autenticazione rubate. In alcune campagne, l’attore di minaccia ha utilizzato credenziali rubate probabilmente ottenute da log di informazioni rubate disponibili nel sottobosco del cybercrimine per accedere a Exchange e SharePoint Online e raccogliere email e file da organizzazioni compromesse.
Utilizzo di strumenti pubblici e metodi diretti
In alcuni casi, l’attore di minaccia ha enumerato la configurazione Microsoft Entra ID dell’organizzazione compromessa utilizzando lo strumento pubblico AzureHound per ottenere informazioni su utenti, ruoli, gruppi, applicazioni e dispositivi appartenenti a quel tenant. Recentemente, Microsoft ha osservato il gruppo di hacker spostarsi verso “metodi più diretti” per rubare password, come l’invio di email di spear-phishing progettate per ingannare le vittime e indurle a cedere le loro informazioni di accesso tramite pagine di atterraggio avversarie-in-the-middle (AitM).
Impersonificazione e attacchi mirati
L’attività include l’uso di un dominio typosquattato per impersonare il portale di autenticazione Microsoft Entra, prendendo di mira oltre 20 ONG in Europa e negli Stati Uniti. I messaggi email affermavano di provenire da un organizzatore dell’UE, cercando di ingannare ulteriormente le vittime.
Fonte: The Hackers News
