HackerNews 编译,转载请注明出处:
微软披露一起与俄罗斯关联的威胁组织Void Blizzard(又名Laundry Bear)的恶意活动,该组织通过“全球云服务滥用”实施间谍行动。该组织自2024年4月起活跃,主要针对欧洲和北美地区的政府、国防、运输、媒体、非政府组织及医疗行业等对俄罗斯政府目标具有战略价值的实体。
微软威胁情报团队在最新报告中指出:“攻击者通常从暗网市场购买被盗登录凭证实施入侵,进入系统后大量窃取邮件与文件。” 数据显示,Void Blizzard的攻击重点聚焦北约成员国及对乌克兰提供军事/人道主义支持的国家,乌克兰本土的教育、运输和国防机构同样遭受渗透。典型案例包括2024年10月入侵乌克兰某航空机构账户,该机构曾在2022年遭俄罗斯总参谋部情报总局(GRU)关联组织Seashell Blizzard攻击。
攻击技术链包含以下阶段:
- 初始渗透: 采用密码喷射攻击与窃取凭证等基础手法,部分案例中利用信息窃取器日志获取Exchange和SharePoint Online访问权限。权限提升:使用开源工具AzureHound枚举微软Entra ID配置,获取租户内用户、角色、应用及设备信息。横向移动: 近期转向更直接的凭证窃取方式,发送钓鱼邮件诱导受害者访问中间人(AitM)钓鱼页面。攻击者注册仿冒域名micsrosoftonline[.]com,搭建基于Evilginx框架的微软Entra认证门户钓鱼页面,伪装“欧洲防务安全峰会”组织者发送含恶意二维码的PDF邀请函。数据窃取: 滥用Exchange Online和Microsoft Graph API批量收集用户邮箱与云端文件,部分案例中通过网页客户端访问Microsoft Teams对话记录。
荷兰国防情报安全局(MIVD)确认,该组织于2024年9月23日通过“传票攻击”(pass-the-cookie)入侵荷兰警方员工账户,窃取警务人员工作联系信息。MIVD局长彼得·雷斯尼克海军中将表示:“Laundry Bear组织旨在获取西方国家军事装备采购生产情报及对乌军援细节。”
微软指出,受害机构名单与俄罗斯其他国家级黑客组织(如Forest Blizzard、Midnight Blizzard、Secret Blizzard)的攻击目标存在重叠,表明这些组织在情报收集任务上存在协同分工。攻击者利用自动化工具实现大规模数据窃取,且持续调整战术——从早期的凭证转储转向精准钓鱼与云API滥用,反映出其对高价值情报的持续性猎取。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
