微軟警告：俄黑客發起大范圍憑證竊取攻擊

近日，微軟透露，它檢測到俄羅斯國家附屬黑客組織 Midnight Blizzard 發起的憑證竊取攻擊激增。

微軟威脅情報團隊表示，這些入侵利用住宅代理服務來混淆攻擊的源 IP 地址，目標是政府、IT 服務提供商、非政府組織、國防和關鍵制造部門。

Midnight Blizzard，以前稱為Nobelium，也被稱為 APT29、Cozy Bear、Iron Hemlock 和 The Dukes。

該組織因 2020 年 12 月的 SolarWinds 供應鏈泄露事件而引起全世界關注，該組織繼續依賴看不見的工具對外交部和外交實體進行有針對性的攻擊。

這表明他們在暴露身份的情況下仍決心保持其行動的正常運行，這使他們成為間諜領域特別強大的參與者。

微軟在一系列推文中表示，“這些憑證攻擊使用了各種密碼噴射、暴力破解和令牌盜竊技術”，并補充到，“攻擊者還利用可能獲得的被盜會話進行會話重放攻擊，以獲得對云資源的初始訪問權限，通過非法銷售。”

微軟進一步指出 APT29 使用住宅代理服務來引入惡意流量，試圖混淆使用受損憑證建立的連接。

Windows 制造商表示：“威脅行為者可能會在很短的時間內使用這些 IP 地址，這可能會給范圍界定和修復帶來挑戰。”

與此同時，Recorded Future 詳細介紹了APT28（又名 BlueDelta、Forest Blizzard、FROZENLAKE、Iron Twilight 和 Fancy Bear）自 2021 年 11 月以來針對烏克蘭政府和軍事實體精心策劃的新魚叉式網絡釣魚活動。

這些攻擊利用帶有附件的電子郵件，利用開源 Roundcube Webmail 軟件中的多個漏洞（CVE-2020-12641、CVE-2020-35730和CVE-2021-44026）來進行偵察和數據收集。

成功的入侵使俄羅斯軍事情報黑客能夠部署流氓 JavaScript 惡意軟件，將目標個人的傳入電子郵件重定向到攻擊者控制下的電子郵件地址，并竊取他們的聯系人列表。

這家網絡安全公司表示：“該活動表現出了高度的準備能力，迅速將新聞內容武器化，以利誘騙接收者。魚叉式網絡釣魚電子郵件包含與烏克蘭相關的新聞主題，其主題行和內容反映了合法媒體來源。”

更重要的是，據稱該活動與另一組利用 Microsoft Outlook 中當時的零日漏洞 ( CVE-2023-23397 ) 的攻擊相吻合，微軟披露該漏洞用于針對歐洲組織的“有限針對性攻擊”。

該權限升級漏洞已作為 2023 年 3 月推出的周二補丁更新的一部分得到解決。

調查結果表明，俄羅斯威脅行為者持續努力收集有關烏克蘭和整個歐洲各個實體的寶貴情報，特別是在2022 年 2 月對該國進行全面入侵之后。

針對烏克蘭目標的網絡戰行動的顯著特點是廣泛部署旨在刪除和破壞數據的擦除惡意軟件，使其成為大規模混合沖突的最早實例之一。

Recorded Future 總結道：“BlueDelta 幾乎肯定會繼續優先瞄準烏克蘭政府和私營部門組織，以支持更廣泛的俄羅斯軍事行動。”