Недавно обнаруженная российская государственная группировка угроз нацелилась на большой сектор промышленности, особенно в государствах-членах НАТО и на Украине, что является частью глобальной шпионской кампании в поддержку интересов Москвы, сообщила Microsoft Threat Intelligence во вторник в своем блоге.
Группа Laundry Bear, которую Microsoft отслеживает как Void Blizzard, атаковала множество правительств и поставщиков критически важной инфраструктуры как минимум с 2024 года. Голландские службы разведки и безопасности во вторник заявили, что в сентябре 2024 года группа проникла в системы национальной полиции Нидерландов и похитила служебные контактные данные сотрудников полиции.
«Мы наблюдали, как эта хакерская группа успешно получила доступ к конфиденциальной информации большого числа правительственных организаций и компаний по всему миру», — заявил во вторник директор Министерства обороны Нидерландов Питер Ризинк. «Laundry Bear ищет информацию о закупках и производстве военной техники западными правительствами и поставках оружия на Украину».
Первоначальные методы доступа, используемые группировкой, не отличались особой сложностью, однако ей удалось получить доступ к данным многих организаций в критически важных секторах и похитить их.
«Хотя тактика, методы и процедуры Void Blizzard не являются уникальными среди продвинутых постоянных субъектов угроз или даже групп, спонсируемых российским национальным государством, повсеместный успех их операций подчеркивает сохраняющуюся угрозу даже со стороны неискушенных TTP, когда их используют решительные субъекты, стремящиеся собрать конфиденциальную информацию», — сообщили исследователи угроз Microsoft в своем блоге .
По данным Microsoft, с середины 2024 года Void Blizzard занимается шпионажем против государственных учреждений, поставщиков оборонной продукции, а также организаций в сфере связи, информационных технологий, здравоохранения, образования, СМИ и транспорта.
«Злоумышленник использует украденные учётные данные, вероятно, полученные из экосистем похитителей информации, и собирает большой объём электронной почты и файлов из скомпрометированных организаций», — заявили исследователи Microsoft. Microsoft добавила, что группа, вероятно, получает файлы cookie и другие учётные данные из криминальных экосистем для атак методом распыления паролей.
Void Blizzard использует эти учётные данные для получения первоначального доступа к Exchange и SharePoint Online для сбора разведывательной информации. Затем группа использует легитимные облачные API для анализа почтовых ящиков и облачных файлов, прежде чем автоматизировать массовую кражу данных из облака, сообщает Microsoft.
В некоторых случаях группа получала доступ к беседам и сообщениям Microsoft Teams, а также каталогизировала конфигурации Microsoft Entra ID, чтобы получить информацию о пользователях, ролях, группах, приложениях и устройствах, принадлежащих этой учетной записи.
В апреле служба Microsoft Threat Intelligence выявила фишинговую кампанию Void Blizzard с использованием атаки типа «противник посередине», направленную на более чем 20 неправительственных организаций в Европе и США. В этих атаках группа использовала захваченный домен для подмены аутентификации Microsoft Entra.
«Эта новая тактика предполагает, что Void Blizzard дополняет свои ситуативные, но целенаправленные операции по обеспечению доступа более целенаправленным подходом, что повышает риск для организаций в критически важных секторах», — заявили в Microsoft.
Microsoft отказалась отвечать на вопросы о том, сколько атак на сегодняшний день приписывается Void Blizzard и насколько вырос уровень угроз со стороны группировки за последний год.
Нидерландские разведывательные и силовые ведомства в своем сообщении по кибербезопасности заявили, что Laundry Bear нацелился «практически на все страны» Европейского Союза и НАТО, добавив, что группировка также атаковала организации в Восточной и Центральной Азии.
Голландские официальные лица заявили, что Laundry Bear действует в высоком темпе, и описали группу как «очень успешную» по сравнению с некоторыми другими опасными группировками, спонсируемыми российским государством.
Группа Laundry Bear, которую Microsoft отслеживает как Void Blizzard, атаковала множество правительств и поставщиков критически важной инфраструктуры как минимум с 2024 года. Голландские службы разведки и безопасности во вторник заявили, что в сентябре 2024 года группа проникла в системы национальной полиции Нидерландов и похитила служебные контактные данные сотрудников полиции.
«Мы наблюдали, как эта хакерская группа успешно получила доступ к конфиденциальной информации большого числа правительственных организаций и компаний по всему миру», — заявил во вторник директор Министерства обороны Нидерландов Питер Ризинк. «Laundry Bear ищет информацию о закупках и производстве военной техники западными правительствами и поставках оружия на Украину».
Первоначальные методы доступа, используемые группировкой, не отличались особой сложностью, однако ей удалось получить доступ к данным многих организаций в критически важных секторах и похитить их.
«Хотя тактика, методы и процедуры Void Blizzard не являются уникальными среди продвинутых постоянных субъектов угроз или даже групп, спонсируемых российским национальным государством, повсеместный успех их операций подчеркивает сохраняющуюся угрозу даже со стороны неискушенных TTP, когда их используют решительные субъекты, стремящиеся собрать конфиденциальную информацию», — сообщили исследователи угроз Microsoft в своем блоге .
По данным Microsoft, с середины 2024 года Void Blizzard занимается шпионажем против государственных учреждений, поставщиков оборонной продукции, а также организаций в сфере связи, информационных технологий, здравоохранения, образования, СМИ и транспорта.
«Злоумышленник использует украденные учётные данные, вероятно, полученные из экосистем похитителей информации, и собирает большой объём электронной почты и файлов из скомпрометированных организаций», — заявили исследователи Microsoft. Microsoft добавила, что группа, вероятно, получает файлы cookie и другие учётные данные из криминальных экосистем для атак методом распыления паролей.
Void Blizzard использует эти учётные данные для получения первоначального доступа к Exchange и SharePoint Online для сбора разведывательной информации. Затем группа использует легитимные облачные API для анализа почтовых ящиков и облачных файлов, прежде чем автоматизировать массовую кражу данных из облака, сообщает Microsoft.
В некоторых случаях группа получала доступ к беседам и сообщениям Microsoft Teams, а также каталогизировала конфигурации Microsoft Entra ID, чтобы получить информацию о пользователях, ролях, группах, приложениях и устройствах, принадлежащих этой учетной записи.
В апреле служба Microsoft Threat Intelligence выявила фишинговую кампанию Void Blizzard с использованием атаки типа «противник посередине», направленную на более чем 20 неправительственных организаций в Европе и США. В этих атаках группа использовала захваченный домен для подмены аутентификации Microsoft Entra.
«Эта новая тактика предполагает, что Void Blizzard дополняет свои ситуативные, но целенаправленные операции по обеспечению доступа более целенаправленным подходом, что повышает риск для организаций в критически важных секторах», — заявили в Microsoft.
Microsoft отказалась отвечать на вопросы о том, сколько атак на сегодняшний день приписывается Void Blizzard и насколько вырос уровень угроз со стороны группировки за последний год.
Нидерландские разведывательные и силовые ведомства в своем сообщении по кибербезопасности заявили, что Laundry Bear нацелился «практически на все страны» Европейского Союза и НАТО, добавив, что группировка также атаковала организации в Восточной и Центральной Азии.
Голландские официальные лица заявили, что Laundry Bear действует в высоком темпе, и описали группу как «очень успешную» по сравнению с некоторыми другими опасными группировками, спонсируемыми российским государством.
