Microsoft ha arrojado luz sobre un grupo de actividades maliciosas previamente indocumentadas que se origina en un actor de amenaza afiliado a Rusia denominado Vacío tormenta de nieve (también conocido como Lavry Bear) que dijo se atribuye al «abuso mundial en la nube».
Activo desde al menos abril de 2024, el grupo de piratería está vinculado a las operaciones de espionaje, principalmente a organizaciones que son importantes para los objetivos del gobierno ruso, incluidos los de gobierno, defensa, transporte, medios de comunicación, organizaciones no gubernamentales (ONG) y sectores de atención médica en Europa y América del Norte.
«A menudo usan detalles de inicio de sesión robados que probablemente compran de los mercados en línea para obtener acceso a las organizaciones», dijo el equipo de inteligencia de amenazas de Microsoft en un informe publicado hoy. «Una vez dentro, roban grandes cantidades de correos electrónicos y archivos».
Se ha encontrado que los ataques montados por Void Blizzard destacan desproporcionadamente a los Estados miembros de la OTAN y Ucrania, lo que sugiere que el adversario está buscando recopilar inteligencia para aumentar los objetivos estratégicos rusos.
Específicamente, el actor de amenaza es conocido por dirigirse a organizaciones gubernamentales y agencias de aplicación de la ley en los Estados miembros y países de la OTAN que brindan apoyo militar o humanitario directo a Ucrania. También se dice que ha organizado ataques exitosos dirigidos a la educación, el transporte y las verticales de defensa en Ucrania.
Esto incluye el compromiso de octubre de 2024 de varias cuentas de usuarios pertenecientes a una organización de aviación ucraniana que había sido atacada previamente por Seashell Blizzard, un actor de amenaza vinculado a la Dirección de Inteligencia Principal del Estado Mayor Ruso (GRU), en 2022.
Los ataques se caracterizan como esfuerzos de alto volumen oportunistas y dirigidos que están diseñados para violar los objetivos considerados de valor para el gobierno ruso. Los métodos de acceso iniciales comprenden técnicas poco sofisticadas como la pulverización de contraseñas y las credenciales de autenticación robadas.
En algunas de las campañas, el actor de amenazas ha utilizado credenciales robadas que probablemente obtuvieron registros de robadores de información de productos disponibles en el cibercrimen underground para acceder a Exchange y SharePoint en línea y cosechan correo electrónico y archivos de organizaciones comprometidas.
«El actor de amenaza también ha enumerado en algunos casos la configuración de ID de Microsoft Entra de la organización comprometida utilizando la herramienta AzureHound disponible públicamente para obtener información sobre los usuarios, roles, grupos, aplicaciones y dispositivos que pertenecen a ese inquilino», dijo Microsoft.
Tan recientemente como el mes pasado, el fabricante de Windows dijo que observó que la tripulación de piratería cambiaba a «métodos más directos» para robar contraseñas, como enviar correos electrónicos de phishing de lanza que están diseñados para engañar a las víctimas para separarse con su información de inicio de sesión mediante una adversaria en las páginas de desembarco adversas (AITM).
La actividad implica el uso de un dominio tipográfico para hacerse pasar por el portal de autenticación de Microsoft Entra para apuntar a más de 20 ONG en Europa y Estados Unidos. Los mensajes de correo electrónico afirmaban ser de un organizador de la Cumbre Europea de Defensa y Seguridad y contenían un archivo adjunto PDF con invitaciones falsas a la cumbre.
Presente Deseando que el documento PDF sea un código QR malicioso que redirige a un dominio controlado por el atacante («MicsRosoftonline (.) Com») que aloja una página de phishing de credencial. Se cree que la página de phishing se basa en el kit de phishing Evilginx de código abierto.
Las acciones posteriores a la compromiso después de obtener el acceso inicial abarcan el abuso de Exchange Online y Microsoft Graph para enumerar los buzones de los usuarios y los archivos alojados en la nube, y luego utilizar la automatización para facilitar la recopilación de datos a granel. En casos selectos, también se dice que los actores de amenaza han accedido a las conversaciones y mensajes de los equipos de Microsoft a través de la aplicación del cliente web.
«Muchas de las organizaciones comprometidas se superponen con el pasado, o, en algunos casos, concurrente, a otros actores estatales rusos conocidos, incluidos Forest Blizzard, Midnight Blizzard y Secret Blizzard», dijo Microsoft. «Esta intersección sugiere intereses compartidos de recolección de espionaje e inteligencia asignados a las organizaciones matrices de estos actores de amenazas».
Void Blizzard vinculado a la agencia de policía de la agencia de policía holandesa de septiembre
En un asesoramiento separado, el Servicio de Inteligencia y Seguridad de Defensa de los Países Bajos (MIVD) atribuyó a Void Blizzard a una cuenta de empleados de la policía holandés el 23 de septiembre de 2024, a través de un ataque de pases-el-coco, indicando que el actor de amenazas de la policía obtuvo la información de contacto relacionada con el trabajo de los empleados de la policía.
El ataque de pase-the-cookie se refiere a un escenario en el que un atacante utiliza cookies robadas obtenidas a través de malware de robador de información para iniciar sesión en cuentas sin tener que ingresar un nombre de usuario y una contraseña. Actualmente no se sabe qué otra información fue robada, aunque es muy probable que otras organizaciones holandesas también estuvieran atacadas.
«Lavry Bear está buscando información sobre la compra y la producción de equipos militares por parte de los gobiernos occidentales y los suministros occidentales de armas a Ucrania», dijo el director de MIVD, el vicealmirante Peter Reesink, en un comunicado.