Microsoft ha revelado una preocupante tendencia: un aumento en los ataques de robo de credenciales realizados por el grupo de piratas informáticos afiliado al estado ruso conocido como Midnight Blizzard.
Estas intrusiones se dirigen a gobiernos, proveedores de servicios de TI, ONG y sectores de fabricación críticos. Utilizando servicios de proxy residencial para ocultar su origen, el grupo ha demostrado su capacidad para comprometer la seguridad de ministerios de relaciones exteriores y entidades diplomáticas.
El grupo Midnight Blizzard utiliza técnicas avanzadas y servicios de proxy residencial para llevar a cabo sus ataques
Midnight Blizzard, anteriormente conocido como Nobelium, también es conocido por los nombres APT29, Cozy Bear, Iron Hemlock y The Dukes.
A pesar de haber sido expuestos tras el compromiso de la cadena de suministro de SolarWinds en 2020, el grupo continúa utilizando herramientas invisibles en sus ataques, lo que demuestra su determinación y lo convierte en un actor formidable en el ámbito del espionaje.
Según Microsoft, estos ataques de robo de credenciales emplean diversas técnicas, como robo de contraseñas, fuerza bruta y robo de tokens. El grupo también ha llevado a cabo ataques de repetición de sesiones para obtener acceso inicial a recursos de la nube utilizando sesiones robadas adquiridas ilegalmente.
Microsoft has detected increased credential attack activity by the threat actor Midnight Blizzard using residential proxy services to obfuscate the source of their attacks. These attacks target governments, IT service providers, NGOs, defense industry, and critical manufacturing.
— Microsoft Threat Intelligence (@MsftSecIntel) June 21, 2023
Además, han utilizado servicios de proxy residencial para enmascarar las conexiones realizadas con credenciales comprometidas, dificultando aún más las acciones de alcance y remediación.
APT28 lanza una campaña de phishing dirigida a entidades gubernamentales y militares en Ucrania
Paralelamente, se ha descubierto una campaña de phishing dirigida por APT28, también conocido como BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight y Fancy Bear, que ha apuntado a entidades gubernamentales y militares en Ucrania desde noviembre de 2021.
Estos ataques aprovecharon correos electrónicos con archivos adjuntos que explotaban múltiples vulnerabilidades en el software de correo web Roundcube de código abierto. El objetivo era recopilar datos y realizar reconocimiento.
Las víctimas veían sus correos electrónicos redirigidos a direcciones bajo el control de los atacantes, y sus listas de contactos también fueron robadas.
Estos hallazgos resaltan los persistentes esfuerzos de los actores de amenazas rusos para recopilar inteligencia valiosa sobre diversas entidades en Ucrania y Europa.
Especialmente después de la invasión a gran escala del país en febrero de 2022, las operaciones de guerra cibernética han sido parte de un conflicto híbrido.
Se ha observado el despliegue generalizado de malware diseñado para eliminar y destruir datos, lo que demuestra la complejidad de estos ataques.
Es fundamental que las organizaciones y entidades gubernamentales estén al tanto de estos ataques y tomen medidas de seguridad adecuadas para proteger sus sistemas y datos confidenciales.
