Ruskí hackeri používali hacknuté účty Microsoft 365 napadnúť spoločnosti v USA a podarilo sa im úspešne hacknúť takmer 40 firiem.
V novej správe výskumníkov Microsoft tvrdí, že objavili hackerskú skupinu, ktorú sledujú, s názvom Midnight Blizzard (aka NOBELIUM alebo Útulný medveď). Útočníci zrejme použili predtým ukradnuté účty Microsoft 365, ktoré vlastnia rôzne malé podniky po celej krajine, aby sa zamerali na konkrétne firmy pomocou phishingových správ a návnad distribuovaných prostredníctvom Microsoft Tímy. Hackeri predstierali, že sú pracovníkmi technickej podpory a snažili sa prinútiť obete, aby s nimi zdieľali svoje prihlasovacie údaje a viacfaktorové overovacie kľúče.
Microsoft uviedol, že kampaň zasiahla "asi 40 globálnych organizácií" a že zablokovala prístup k ohrozeným doménam, čo naznačuje, že vektor útoku kampane bol zakázaný. Dotknuté spoločnosti boli informované.
Midnight Blizzard sa špecializuje na kyberšpionáž a zber dát a najčastejšie sa zameriava na firmy súvisiace s vládou, mimovládnymi organizáciami, IT službami, technologickým a mediálnym sektorom. Najčastejšie ide o európske alebo americké organizácie. V niektorých prípadoch hackermi cielené firmy, ktorých systémy sú chránené viacfaktorovou autentifikáciou. Bez zachádzania do detailov, Microsoft oznámili, že útočníkom sa podarilo obísť MFA tak, že oklamali obete, aby zdieľali kľúč.
Midnight Blizzard používa širokú škálu metód a pokročilých prístupov k útoku a je dostatočne nebezpečný na to, aby bol na radare vlád USA a Veľkej Británie. Za skupinou zrejme stojí ruská zahraničná spravodajská služba. Títo hackeri sa zvyčajne zameriavajú na významných jednotlivcov, ako sú politici, diplomati, novinári, ako aj poskytovatelia IT služieb a poskytovatelia kritickej infraštruktúry.
Účelom Midnight Blizzard je zhromaždiť spravodajské informácie a dozvedieť sa čo najviac o vnútornom fungovaní diplomatov na Západe. Microsoft pomerne aktívne monitoroval činnosť tejto skupiny a niekoľko týždňov pred týmto incidentom sa obrátil na Twitter, aby varoval svojich zákazníkov pred Midnight Blizzard a povedal, že skupina zintenzívnila svoje útoky na poverenie.
Microsoft zistila zvýšenú aktivitu útoku na poverenia zo strany aktéra hrozby Midnight Blizzard pomocou rezidenčných proxy serverovces aby zakryli zdroj ich útokov. Tieto útoky sú zamerané na vlády, poskytovateľov IT služieb, mimovládne organizácie, obranný priemysel a kritickú výrobu.
- Microsoft Inteligencia hrozieb (@MsftSecIntel) Júna 21, 2023
Prečítajte si tiež: