مایکروسافت فاش کرده است که افزایشی در حملات سرقت مدارک توسط گروه هکری وابسته به دولت روسیه موسوم به Midnight Blizzard شناسایی شده است.
تیم اطلاعاتی تهدید غول فناوری گفت که این نفوذها که از خدمات پراکسی مسکونی برای مخفی کردن آدرس IP منبع حملات استفاده میکردند، دولتها، ارائهدهندگان خدمات فناوری اطلاعات، سازمانهای غیردولتی، دفاعی و بخشهای مهم تولیدی را هدف قرار میدادند.
بلیزارد نیمه شب که قبلاً با نام نوبلیوم شناخته میشد، با نامهای APT29، Cozy Bear، Iron Hemlock و The Dukes نیز دنبال میشود.
این گروه که در دسامبر 2020 توجه جهانی را به سازش زنجیره تامین SolarWinds جلب کرد، همچنان در حملات هدفمند خود به وزارتخانههای خارجه و نهادهای دیپلماتیک به ابزارهای نادیدهای تکیه میکند.
این نشانه ای از این است که آنها چقدر مصمم هستند که علیرغم افشا شدن، عملیات خود را ادامه دهند و این امر آنها را به یک بازیگر فوق العاده در منطقه جاسوسی تبدیل می کند.
امنیت سایبری
مایکروسافت در مجموعهای از توییتها گفت: «این حملات اعتباری از انواع تکنیکهای اسپری رمز عبور، بیرحمانه، و سرقت نشانهها استفاده میکنند. از طریق فروش غیرقانونی."
این غول فناوری همچنین APT29 را به دلیل استفاده از سرویس های پراکسی مسکونی برای هدایت ترافیک مخرب در تلاش برای مخفی کردن اتصالات ایجاد شده با استفاده از اعتبارنامه های در معرض خطر، مورد انتقاد قرار داد.
سازنده ویندوز گفت: «عامل تهدید احتمالاً از این آدرسهای IP برای دورههای بسیار کوتاهی استفاده میکند، که میتواند محدوده و اصلاح را چالشبرانگیز کند».
این توسعه زمانی انجام میشود که Recorded Future یک کمپین جدید فیشینگ نیزهای را که توسط APT28 (با نام مستعار BlueDelta، Forest Blizzard، FROZENLAKE، Iron Twilight و Fancy Bear) که از نوامبر 2021 تا کنون سازمانهای دولتی و نظامی در اوکراین را هدف قرار میدهد، سازماندهی کرده است.
این حملات از ایمیلهای حاوی پیوستهایی استفاده کردند که از آسیبپذیریهای متعدد در نرمافزار وبمیل منبع باز Roundcube (CVE-2020-12641، CVE-2020-35730 و CVE-2021-44026) برای انجام شناسایی و جمعآوری دادهها استفاده میکردند.
مایکروسافت
یک رخنه موفقیتآمیز به هکرهای اطلاعاتی ارتش روسیه این امکان را داد که بدافزار جاوا اسکریپت سرکش را مستقر کنند که ایمیلهای دریافتی افراد مورد نظر را به آدرس ایمیلی تحت کنترل مهاجمان هدایت میکرد و همچنین فهرست تماسهای آنها را سرقت میکرد.
این شرکت امنیت سایبری گفت: "این کمپین سطح بالایی از آمادگی را به نمایش گذاشت و به سرعت محتوای خبری را به عنوان فریب برای سوء استفاده از گیرندگان تبدیل کرد". «ایمیلهای فیشینگ حاوی مضامین خبری مربوط به اوکراین، با خطوط موضوعی و محتوای منعکس کننده منابع رسانهای قانونی بود.»
مهمتر از آن، گفته می شود که این فعالیت با مجموعه دیگری از حملات همراه است که یک نقص در آن زمان صفر در Microsoft Outlook (CVE-2023-23397) را ایجاد می کند که مایکروسافت فاش کرده است که توسط بازیگران تهدید مستقر در روسیه در "حملات هدفمند محدود" علیه استفاده شده است. سازمان های اروپایی
آسیبپذیری افزایش امتیاز به عنوان بخشی از بهروزرسانیهای Patch Tuesday که در مارس 2023 منتشر شد، برطرف شد.
این یافتهها تلاشهای مداوم بازیگران تهدید روسیه را در جمعآوری اطلاعات ارزشمند در مورد نهادهای مختلف در اوکراین و سراسر اروپا، به ویژه پس از تهاجم گسترده به این کشور در فوریه 2022 نشان میدهد.
عملیات جنگ سایبری با هدف اهداف اوکراینی به طور قابل توجهی با استقرار گسترده بدافزار پاک کن طراحی شده برای حذف و از بین بردن داده ها مشخص شده است و آن را به یکی از اولین نمونه های درگیری هیبریدی در مقیاس بزرگ تبدیل می کند.
Recorded Future در پایان میگوید: «بلو دلتا تقریباً به هدف قرار دادن سازمانهای دولتی و بخش خصوصی اوکراین برای حمایت از تلاشهای نظامی گستردهتر روسیه در اولویت قرار خواهد داد».
تیم اطلاعاتی تهدید غول فناوری گفت که این نفوذها که از خدمات پراکسی مسکونی برای مخفی کردن آدرس IP منبع حملات استفاده میکردند، دولتها، ارائهدهندگان خدمات فناوری اطلاعات، سازمانهای غیردولتی، دفاعی و بخشهای مهم تولیدی را هدف قرار میدادند.
بلیزارد نیمه شب که قبلاً با نام نوبلیوم شناخته میشد، با نامهای APT29، Cozy Bear، Iron Hemlock و The Dukes نیز دنبال میشود.
این گروه که در دسامبر 2020 توجه جهانی را به سازش زنجیره تامین SolarWinds جلب کرد، همچنان در حملات هدفمند خود به وزارتخانههای خارجه و نهادهای دیپلماتیک به ابزارهای نادیدهای تکیه میکند.
این نشانه ای از این است که آنها چقدر مصمم هستند که علیرغم افشا شدن، عملیات خود را ادامه دهند و این امر آنها را به یک بازیگر فوق العاده در منطقه جاسوسی تبدیل می کند.
امنیت سایبری
مایکروسافت در مجموعهای از توییتها گفت: «این حملات اعتباری از انواع تکنیکهای اسپری رمز عبور، بیرحمانه، و سرقت نشانهها استفاده میکنند. از طریق فروش غیرقانونی."
این غول فناوری همچنین APT29 را به دلیل استفاده از سرویس های پراکسی مسکونی برای هدایت ترافیک مخرب در تلاش برای مخفی کردن اتصالات ایجاد شده با استفاده از اعتبارنامه های در معرض خطر، مورد انتقاد قرار داد.
سازنده ویندوز گفت: «عامل تهدید احتمالاً از این آدرسهای IP برای دورههای بسیار کوتاهی استفاده میکند، که میتواند محدوده و اصلاح را چالشبرانگیز کند».
این توسعه زمانی انجام میشود که Recorded Future یک کمپین جدید فیشینگ نیزهای را که توسط APT28 (با نام مستعار BlueDelta، Forest Blizzard، FROZENLAKE، Iron Twilight و Fancy Bear) که از نوامبر 2021 تا کنون سازمانهای دولتی و نظامی در اوکراین را هدف قرار میدهد، سازماندهی کرده است.
این حملات از ایمیلهای حاوی پیوستهایی استفاده کردند که از آسیبپذیریهای متعدد در نرمافزار وبمیل منبع باز Roundcube (CVE-2020-12641، CVE-2020-35730 و CVE-2021-44026) برای انجام شناسایی و جمعآوری دادهها استفاده میکردند.
مایکروسافت
یک رخنه موفقیتآمیز به هکرهای اطلاعاتی ارتش روسیه این امکان را داد که بدافزار جاوا اسکریپت سرکش را مستقر کنند که ایمیلهای دریافتی افراد مورد نظر را به آدرس ایمیلی تحت کنترل مهاجمان هدایت میکرد و همچنین فهرست تماسهای آنها را سرقت میکرد.
این شرکت امنیت سایبری گفت: "این کمپین سطح بالایی از آمادگی را به نمایش گذاشت و به سرعت محتوای خبری را به عنوان فریب برای سوء استفاده از گیرندگان تبدیل کرد". «ایمیلهای فیشینگ حاوی مضامین خبری مربوط به اوکراین، با خطوط موضوعی و محتوای منعکس کننده منابع رسانهای قانونی بود.»
مهمتر از آن، گفته می شود که این فعالیت با مجموعه دیگری از حملات همراه است که یک نقص در آن زمان صفر در Microsoft Outlook (CVE-2023-23397) را ایجاد می کند که مایکروسافت فاش کرده است که توسط بازیگران تهدید مستقر در روسیه در "حملات هدفمند محدود" علیه استفاده شده است. سازمان های اروپایی
آسیبپذیری افزایش امتیاز به عنوان بخشی از بهروزرسانیهای Patch Tuesday که در مارس 2023 منتشر شد، برطرف شد.
این یافتهها تلاشهای مداوم بازیگران تهدید روسیه را در جمعآوری اطلاعات ارزشمند در مورد نهادهای مختلف در اوکراین و سراسر اروپا، به ویژه پس از تهاجم گسترده به این کشور در فوریه 2022 نشان میدهد.
عملیات جنگ سایبری با هدف اهداف اوکراینی به طور قابل توجهی با استقرار گسترده بدافزار پاک کن طراحی شده برای حذف و از بین بردن داده ها مشخص شده است و آن را به یکی از اولین نمونه های درگیری هیبریدی در مقیاس بزرگ تبدیل می کند.
Recorded Future در پایان میگوید: «بلو دلتا تقریباً به هدف قرار دادن سازمانهای دولتی و بخش خصوصی اوکراین برای حمایت از تلاشهای نظامی گستردهتر روسیه در اولویت قرار خواهد داد».