微软于周二发布新发现的俄罗斯黑客组织“Void Blizzard”的技术文档,警告该组织过去一年持续窃取欧洲与北美政府机构及国防承包商的电子邮件、文件乃至Teams聊天记录。
在与荷兰情报机构联合发布的最新报告中,微软威胁追踪团队指出,该克里姆林宫黑客团队高度依赖网络犯罪经济的低成本资源:从信息窃取市场购买被盗账号密码,用于密码喷射攻击。
微软表示,近几周观察到该组织转向更精准的“中间人鱼叉式钓鱼”战术——通过仿冒域名伪造微软Entra登录页面,并以恶意二维码邀请函伪装成虚假的欧洲防务峰会。“我们评估Void Blizzard正在使用开源攻击框架Evilginx实施中间人钓鱼行动,窃取包括输入的用户名、密码及服务器生成的所有cookie在内的认证数据。”2017年公开的Evilginx是具备中间人攻击能力的广泛传播钓鱼工具包。
微软指出,尽管这些技术属于国家级网络间谍活动的常规手段,但受害者名单与俄罗斯其他网络间谍组织存在重叠。该俄罗斯黑客团队可能正在窃取可反馈至军事或外交决策的战略情报。北约国家与乌克兰仍是主要攻击目标,微软举例乌克兰某航空机构曾遭其他俄罗斯APT组织入侵,显示对空中交通与航天网络的重点关注。
根据微软描述,Void Blizzard的攻击流程简明直接:
- 窃取凭证
- 登录Exchange或SharePoint Online
- 自动化下载可见数据
微软威胁情报中心发现与Void Blizzard关联的“全球云服务滥用活动集群”,警告该组织对关键领域网络的高频攻击加剧北约成员国及乌克兰盟友的风险。在初始入侵后,微软捕获黑客滥用Exchange Online和Microsoft Graph等合法云API枚举邮箱(含共享邮箱)与云端文件的行为。
微软解释称:“账户失陷后,攻击者可能自动化批量收集云端数据(主要是邮件与文件),以及受害者有权访问的其他用户邮箱与文件共享。”在少量确认案例中,黑客通过Microsoft Teams网页客户端监视对话内容。攻击者有时使用公开工具AzureHound枚举受害组织的Microsoft Entra ID配置,获取租户内用户、角色、群组、应用程序及设备信息。
微软透露,自2024年年中以来,已追踪到针对电信、国防供应商、数字服务商、医疗及IT行业的成功入侵案例。
消息来源: securityweek;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容