據(jù)微軟披露�,近日檢測到由俄羅斯國家附屬黑客組織 "午夜暴雪 "進行的憑證竊取攻擊激增����。
微軟的威脅情報團隊說����,入侵行為利用住宅代理服務(wù)來混淆攻擊的源IP地址�,目標是政府�����、IT服務(wù)提供商���、非政府組織�����、國防和關(guān)鍵制造部門����。
(資料圖片僅供參考)
“午夜暴雪”以前被稱為Nobelium�����,也以APT29���、Cozy Bear���、Iron Hemlock和The Dukes等名稱被追蹤過�����。
該組織在2020年12月因?qū)?SolarWinds 高調(diào)攻擊而引起全世界的關(guān)注�,但在其針對外國部委和外交實體的目標攻擊中���,該組織依舊依靠隱蔽的工具�。
這一跡象表明他們有強大的決心�,即使在被曝光的情況下仍然保持他們的運作,這也使他們成為間諜領(lǐng)域可怕的存在��。
微軟在一系列推文中說:"這些憑證攻擊使用了各種密碼噴涂�、暴力破解和令牌盜竊技術(shù),同時還進行了會話重放攻擊����,利用可能通過非法銷售獲得的被盜會話獲得對云資源的初始訪問"。
微軟進一步指出��,APT29使用住宅代理服務(wù)來路由惡意流量��,試圖混淆使用受損憑證的連接���。
自2021年11月以來���,Recorded Future詳細介紹了APT28(又名BlueDelta��、Forest Blizzard�、FROZENLAKE����、Iron Twilight和Fancy Bear)針對烏克蘭政府和軍事實體策劃的新的魚叉式釣魚活動�。
這些攻擊利用帶有附件的電子郵件,以及開源Roundcube網(wǎng)絡(luò)郵件軟件的多個漏洞(CVE-2020-12641�,CVE-2020-35730和CVE-2021-44026)來進行偵察和數(shù)據(jù)收集。
通過一個有效的漏洞使俄羅斯軍事情報的黑客能夠部署流氓的JavaScript惡意軟件�,將目標個人的電子郵件重定向到攻擊者控制的電子郵件地址,并竊取他們的聯(lián)系人名單��。
隨后����,該特權(quán)升級漏洞已在2023年3月的 "補丁星期二 "中得到部分解決。
這些發(fā)現(xiàn)表明�����,俄羅斯的威脅者一直在努力收集關(guān)于烏克蘭和整個歐洲的各種實體的有價值的情報,特別是在2022年2月俄烏戰(zhàn)爭爆發(fā)之后�。
俄羅斯的威脅者在對烏克蘭網(wǎng)絡(luò)戰(zhàn)行動中的顯著特點是廣泛部署旨在刪除和破壞數(shù)據(jù)的雨刷惡意軟件。
最后���,Recorded Future總結(jié)道���,"BlueDelta幾乎肯定會繼續(xù)優(yōu)先針對烏克蘭政府和私營部門組織,以更廣泛的支持俄羅斯軍事���。
參考鏈接:https://thehackernews.com/2023/06/microsoft-warns-of-widescale-credential.html
