Новости Microsoft: украинские СМИ стали ловушкой для жертв группы Midnight Blizzard

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Новости о событиях в Украине стали инструментом для кражи данных пользователей почты Roundcube.


us82zm26636qqr8glzw82llos4u42n38.jpg


Специалисты Microsoft Для просмотра ссылки Войди или Зарегистрируйся всплеск атак группировки Midnight Blizzard, сосредоточенных на краже учетных данных. В ходе атак хакеры используют резидентные прокси-сервисы для сокрытия исходного IP-адреса злоумышленников, нацелены на правительства, поставщиков ИТ-услуг, НПО, оборонный и критически важный секторы производства.

Midnight Blizzard (Nobelium, APT29, Cozy Bear, Iron Hemlock и The Dukes) привлекла внимание всего мира Для просмотра ссылки Войди или Зарегистрируйся и продолжает полагаться на незаметные инструменты в своих целевых атаках, направленных на МИДы и дипломатические учреждения по всему миру.

В атаках используются различные методы распыления паролей ( Password Spraying ), брутфорса и кражи токенов. По словам Microsoft, злоумышленник также проводил атаки с повторным воспроизведением сеанса, чтобы получить первоначальный доступ к облачным ресурсам, используя украденные сеансы, которые, вероятно, были приобретены путем незаконной продажи.

Эксперты также сообщили, что APT29 использовала резидентные прокси-сервисы для маршрутизации вредоносного трафика в попытке запутать соединения, сделанные с использованием скомпрометированных учетных данных. Хакеры, вероятно, использовали эти IP-адреса в течение очень короткого периода времени, что могло затруднить обнаружение.

По Для просмотра ссылки Войди или Зарегистрируйся Центра киберзащиты и противодействия киберугрозам Украины ( CERT-UA ), в атаках использовались электронные письма с вложениями, использующие многочисленные уязвимости в программном обеспечении веб-почты Roundcube с открытым исходным кодом ( Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ) для проведения разведки и сбора данных.


ya1gqxc8ve29jckdp42ongg95l1i6txh.png


Цепочка атаки Midnight Blizzard

Целенаправленные фишинговые электронные письма содержали новостные темы, связанные с Украиной, с темами и содержанием, отражающими настоящие источники СМИ. Успешный взлом позволил хакерам развернуть вредоносную программу JavaScript, которая перенаправляла входящие электронные письма жертв на адрес электронной почты, находящийся под контролем злоумышленников, а также похищала списки контактов целей.

Что еще более важно, эта деятельность, как утверждается, согласуется с атаками, использующих уязвимость нулевого дня в Microsoft Outlook ( Для просмотра ссылки Войди или Зарегистрируйся ), которые Microsoft Для просмотра ссылки Войди или Зарегистрируйся (Fancy Bear, Sofacy).
 
Источник новости
www.securitylab.ru

Похожие темы