Die neue russische apt-bande void blizzard hat bereits die niederländische polizei infiltriert und greift nun nach unternehmensdaten in der nato.
Seit über einem jahr hat es eine neue cyberspionage-gruppe, die mit der russischen Regierung à Verbindung Stehen Soll, auf unternehmen aus verschenenen branchen innerhalb der nato abgesehen. Die Gruppe Wird von Microsoft Threat Intelligence «Void Blizzard» Genannt. Die niederländischen Geheimdienste Haben Ihr den namen „Baundry Bear » Gegeben. SIE NUTZT KOMPROMITTIERTE ANMELDEINformationen, Um auf Postfächer Zuzugreifen und Große Mengen et e-mails Sowie Daten Aus Internen Netzwerken Zu Stehlen.
Kritische infrastrukturen besonders im visible
Laut Microsoft Führt Die Hackergruppe Gezielte Cyberspionage Gegen Nato-Staaten und Die Ukraine Durch, Offenbar, Um Russische Interessen Zu UnterStützen. Besonders Gefährdet Sind Kritische Sektoren Wie Verteidigung, Kommunikation, Gesundheitswesen, It, Regierung und Transport.
Nachdem void blizzard im septembre 2024 Erfolgreich die Niederländische Polizei Gehackt Hatte, Koperierte Microsoft Mit den Niederländischen GeheimDiensten Aivd und Mivd. Die Gruppe Verfolgt ähnliche Ziele Wie Andere Russische Cyberspionagegruppen, Nutzt Jédoch Weniger Ausgefeilte Zugriffstechniken, alors die experten.
Strategische Ziele Im Fokus Russischer Hacker
Bisher Nutzte Laundry Bear Vor Allem Passwort-Spraying und Kaufte Gestohlene Zugangsdaten Aus Untergrundmärkten, die Insbesondere von infosaler-malware Stammen. Beim angriff auf die niederländische polizei gelangte die grruppe über ein gestohlenes sitzungs-cookie dans ein mitarbeiterkonto.
Mithilfe Solcher Cookies Können Sich Angreifer Ohne Passwort Anmelden. Dieser Vorgang ist Auch als Pass-the-Cookie-Angriff Bekannt. Danach
- Greifen Sie über Exchange-Dieste auf Netzwerke Zu,
- Laden Beispsielsweise die Liste d’adresses mondiales Herunter und
- Nutzen Diese Informationen Für Passwort-Spraying-Angriffe Auf Delegierte E-Mail-Konten.
Die Kriminellen Verwenden Keine Eigene Malware, Sondern Setzen Auf Living-Off-the-Land-Taktiken (LOTL). Hierbei Nutzen Sie Vorhandène outils administratifs dans KOMPROMITTTIERTEN SYSTEMEN. Obwohl einige angriffe opportunistisch Sind, konzentriert sich die bande Hauptsächlich auf organisationen, die im kontext des angriffskriegs russlands in Der Ukraine Strategisch wichtig Sind.
- Verteidigungsministerien,
- Botschaften,
- Streitkräfted
- Verteidigungsfirmen dans l’OTAN-Staaten.
Von pulvérisation zu phishing
Dans den letzten monaten hat die grruppe void blizzard ihre angriffsmethoden geändert: statt passwort-fraying nun gezieltes gezieltes lance-phishing mit adversary in the-theddle-techniken (Aitm) zum einsatz. Dabei Wurden Nutzer über Gefälschte Microsoft-Entra-Anmeldeseiten auf eine mittels typosquatting Verschleierte, Betrügerische Domain Gelockt. Im April Führte décède Dazu, Dass 20 NGOS KOMPROMITTTIERERT WURDEN. Mourir angreifer nutzten das open-source-phishing-framework „Evilginx”, um zugangsdaten und sitzungscookies zu Stehlen.
NACHDEM SIE ZUGRIFF ERHALTEN HATTEN, VERWENDETEN SIE LÉGITIME Microsoft-Cloud-APIS, UM E-Mails, Dateien UND Teams-Kommunikation Auszuspähen. Zudem Kam Das Open-Tool „Azurehound » Zum Einsatz. ZIEL WAR ES, DETAILLIERTE INFORMATIONNEEN über Die „Microsoft Entra Id” -Struktur der Opfer Zu Sammeln.
Anmeldéhygiène und minimalrechte
Microsoft Empfiehlt Abfragen Zur BedrohungsSuche dans Microsoft Xdr und Azure Sentinel Sowie den Einsatz von Richtlien für Bedingten Zugriff Zu Nutzen. So Sollen Sich Anmedungsrisiken Erkennn und Automatisch Zugriffsperren Oder Multi-Faktor-Authentifizierungs (MFA) -anfragen Auslösen Lassen. Besonders Empfohlen Werden Phishing-Resistente Authentifizierungsmethoden wie fido-tokens oder der Microsoft Authenticator Mit Passkey, Da Bei Telefonbasierter MFA Sim-Jacking-Risiken Bestehen.
Die Identitätsverwaltung zu zentralisieren und in einem siem zu protokollieren, Sollen Helfen, Verdächtige Aktivitäten Zu Erkennen. Zudem Sind Laut den experts eine gute anmeldehygiène und das prizip der geringsteten privilegien Essenziell.
