L'ascesa degli attacchi informatici di Midnight Blizzard: Microsoft allerta

Microsoft ha rivelato un drastico aumento degli attacchi mirati a rubare le credenziali, perpetrati dal gruppo di hacker russi affiliato allo stato, noto come Midnight Blizzard. Questi attacchi si avvalgono di servizi proxy residenziali per mascherare l'indirizzo IP sorgente, prendendo di mira governi, fornitori di servizi IT, ONG, settori della difesa e della produzione critica, secondo il team di intelligence sulla minaccia del colosso tecnologico. Midnight Blizzard, precedentemente conosciuta come Nobelium, è monitorata anche sotto diversi altri nomi, tra cui APT29, Cozy Bear, Iron Hemlock e The Dukes.

Tattiche d'attacco sofisticate

Midnight Blizzard, noto per il compromesso della catena di fornitura di SolarWinds nel dicembre 2020, ha continuato a fare affidamento su strumenti inediti nei suoi attacchi mirati a ministeri esteri e entità diplomatiche. Questo dimostra la determinazione del gruppo a mantenere attive le proprie operazioni nonostante sia stato esposto, rendendolo un attore particolarmente formidabile nell'area dell'espionaggio. Microsoft ha dichiarato che "gli attacchi di queste credenziali utilizzano una varietà di tecniche di password spray, forza bruta e furto di token", aggiungendo che l'attore "ha anche condotto attacchi replay di sessioni per ottenere l'accesso iniziale alle risorse cloud sfruttando sessioni rubate probabilmente acquisite tramite vendita illecita."

Nascondere l'identità

Microsoft ha inoltre evidenziato come APT29 si avvalga di servizi proxy residenziali per indirizzare il traffico malevolo, cercando di offuscare le connessioni effettuate utilizzando credenziali compromesse. "L'attore della minaccia ha probabilmente utilizzato questi indirizzi IP per brevi periodi, rendendo difficile l'individuazione e la risoluzione del problema", ha affermato il produttore di Windows. Contemporaneamente, Recorded Future ha dettagliato una nuova campagna di spear-phishing organizzata da APT28 (alias BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight e Fancy Bear), che ha preso di mira entità governative e militari in Ucraina dal novembre 2021.

Aggressioni cibernetiche continue

Gli attacchi hanno sfruttato e-mail con allegati che sfruttavano molteplici vulnerabilità nel software di posta elettronica web open-source Roundcube per effettuare ricognizioni e raccolta dati. Un'intrusione riuscita ha permesso agli hacker dell'intelligence militare russa di distribuire malware JavaScript dannoso che reindirizzava le e-mail in arrivo di individui mirati a un indirizzo e-mail sotto il controllo degli aggressori, rubando contemporaneamente le loro liste di contatti. Questa attività si allinea con un altro insieme di attacchi che sfruttano una vulnerabilità allora sconosciuta in Microsoft Outlook (CVE-2023-23397), che Microsoft ha segnalato come utilizzata da attori minacciosi basati in Russia in "attacchi mirati limitati" contro organizzazioni europee.