Sommario
Microsoft ha rivelato di aver rilevato un picco negli attacchi informatici mirati al furto di credenziali condotti dal gruppo hacker affiliato allo stato russo noto come Midnight Blizzard. Questi attacchi, che utilizzano servizi proxy residenziali per offuscare l’indirizzo IP di origine, prendono di mira governi, fornitori di servizi IT, ONG, settori della difesa e della produzione critica.
Midnight Blizzard e le sue tecniche di attacco
Midnight Blizzard, precedentemente noto come Nobelium, è anche monitorato sotto i nomignoli APT29, Cozy Bear, Iron Hemlock e The Dukes. Il gruppo, che ha attirato l’attenzione mondiale per il compromesso della catena di approvvigionamento di SolarWinds nel dicembre 2020, continua a fare affidamento su strumenti inediti nei suoi attacchi mirati a ministeri esteri e entità diplomatiche. Microsoft ha dichiarato che questi attacchi utilizzano una varietà di tecniche di password spray, forza bruta e furto di token.
Uso di servizi Proxy residenziali per offuscare le connessioni
Microsoft ha sottolineato l’uso di servizi proxy residenziali da parte di APT29 per instradare il traffico dannoso nel tentativo di offuscare le connessioni effettuate utilizzando credenziali compromesse. L’attore della minaccia avrebbe utilizzato questi indirizzi IP per brevi periodi, rendendo difficile la definizione dell’ambito e la risoluzione del problema.
Campagna di spear-phishing e attacchi mirati
Parallelamente, Recorded Future ha dettagliato una nuova campagna di spear-phishing orchestrata da APT28, che prende di mira entità governative e militari in Ucraina. Gli attacchi hanno sfruttato e-mail con allegati che sfruttavano vulnerabilità nel software di posta elettronica web open-source Roundcube per condurre attività di ricognizione e raccolta di dati. Un attacco riuscito ha permesso agli hacker di distribuire malware JavaScript che reindirizzava le e-mail in arrivo a un indirizzo e-mail sotto il controllo degli aggressori.
Implicazioni e risposta alla minaccia
Questi attacchi evidenziano gli sforzi persistenti degli attori delle minacce russi nel raccogliere informazioni preziose su varie entità in Ucraina e in tutta Europa. È essenziale che le organizzazioni implementino misure di sicurezza robuste e mantengano una vigilanza costante per proteggere le loro reti e dati daquesti attacchi sofisticati. Inoltre, è importante che le organizzazioni collaborino con le autorità e condividano informazioni sulle minacce per contribuire a contrastare gli attori delle minacce a livello globale.
Gli attacchi informatici condotti dal gruppo hacker Midnight Blizzard rappresentano una minaccia significativa per le organizzazioni in tutto il mondo. Utilizzando tecniche avanzate e sfruttando vulnerabilità , questi attori delle minacce sono in grado di accedere a reti sensibili e rubare dati preziosi. È fondamentale che le organizzazioni rimangano vigili, implementino misure di sicurezza adeguate e collaborino a livello internazionale per contrastare queste minacce.