Microsoft telah menjelaskan sekelompok aktivitas ancaman yang sebelumnya tidak berdokumen yang berasal dari aktor ancaman yang berafiliasi dengan Rusia yang dijuluki Batal badai salju (alias cucian beruang) yang katanya dikaitkan dengan “penyalahgunaan cloud di seluruh dunia.”
Aktif sejak setidaknya April 2024, kelompok peretasan ini terkait dengan operasi spionase terutama menargetkan organisasi yang penting bagi tujuan pemerintah Rusia, termasuk yang ada di pemerintahan, pertahanan, transportasi, media, organisasi non-pemerintah (LSM), dan sektor kesehatan di Eropa dan Amerika Utara.
“Mereka sering menggunakan detail masuk yang dicuri yang kemungkinan besar mereka beli dari pasar online untuk mendapatkan akses ke organisasi,” kata tim Microsoft Ancaman Intelijen dalam sebuah laporan yang diterbitkan hari ini. “Begitu masuk, mereka mencuri banyak email dan file.”
Serangan yang dipasang oleh void blizzard telah ditemukan secara tidak proporsional memilih negara -negara anggota NATO dan Ukraina, menunjukkan bahwa musuh sedang mencari untuk mengumpulkan intelijen untuk lebih lanjut tujuan strategis Rusia.
Secara khusus, aktor ancaman diketahui menargetkan organisasi pemerintah dan lembaga penegak hukum di negara -negara anggota dan negara -negara anggota NATO yang menyediakan dukungan militer atau kemanusiaan langsung ke Ukraina. Dikatakan juga telah melakukan serangan sukses yang ditujukan untuk pendidikan, transportasi, dan pertahanan vertikal di Ukraina.
Ini termasuk kompromi Oktober 2024 dari beberapa akun pengguna yang termasuk dalam organisasi penerbangan Ukraina yang sebelumnya telah ditargetkan oleh Seashell Blizzard, aktor ancaman yang terkait dengan Direktorat Intelijen Utama Staf Umum Rusia (GRU), pada tahun 2022.
Serangan tersebut ditandai sebagai upaya volume tinggi oportunistik dan target yang direkayasa untuk melanggar target yang dianggap bernilai bagi pemerintah Rusia. Metode akses awal terdiri dari teknik yang tidak canggih seperti penyemprotan kata sandi dan kredensial otentikasi yang dicuri.
Dalam beberapa kampanye, aktor ancaman telah memanfaatkan kredensial curian yang kemungkinan bersumber dari log pencuri informasi komoditas yang tersedia di bawah tanah cybercrime untuk mengakses Exchange dan SharePoint Online dan memanen email dan file dari organisasi yang dikompromikan.
“Aktor ancaman juga dalam beberapa kasus menyebutkan konfigurasi ID Microsoft Entra organisasi yang dikompromikan menggunakan alat Azurehound yang tersedia untuk umum untuk mendapatkan informasi tentang pengguna, peran, grup, aplikasi, dan perangkat yang termasuk penyewa itu,” kata Microsoft.
Baru-baru ini bulan lalu, pembuat Windows mengatakan mengamati kru peretasan bergeser ke “metode yang lebih langsung” untuk mencuri kata sandi, seperti mengirim email phishing tombak yang direkayasa untuk menipu korban agar berpisah dengan informasi login mereka melalui halaman arahan lawan-di-tengah-tengah (AITM).
Kegiatan ini mensyaratkan penggunaan domain yang diketik untuk menyamar sebagai portal otentikasi Microsoft Entra untuk menargetkan lebih dari 20 LSM di Eropa dan Amerika Serikat. Pesan email diklaim berasal dari penyelenggara dari KTT Pertahanan dan Keamanan Eropa dan berisi lampiran PDF dengan undangan palsu ke KTT.
Hadir Berharap Dokumen PDF adalah kode QR jahat yang mengarahkan kembali ke domain yang dikendalikan penyerang (“MICSROSOFTONLINE[.]com “) Itu menyelenggarakan halaman phishing kredensial. Dipercayai bahwa halaman phishing didasarkan pada kit phishing Evilginx open-source.
Tindakan pasca-kompromi setelah mendapatkan akses awal mencakup penyalahgunaan Exchange Online dan Microsoft Graph untuk menyebutkan kotak surat pengguna dan file yang di-host cloud, dan kemudian memanfaatkan otomatisasi untuk memfasilitasi pengumpulan data curah. Dalam contoh tertentu, para aktor ancaman juga dikatakan telah mengakses percakapan dan pesan tim Microsoft melalui aplikasi klien web.
“Banyak organisasi yang dikompromikan tumpang tindih dengan masa lalu-atau, dalam beberapa kasus, bersamaan-penargetan oleh aktor negara Rusia terkenal lainnya, termasuk Forest Blizzard, Midnight Blizzard, dan Secret Blizzard,” kata Microsoft. “Persimpangan ini menunjukkan kepentingan spionase dan pengumpulan intelijen yang ditetapkan untuk organisasi induk dari para aktor ancaman ini.”
Void blizzard terkait dengan pelanggaran September dari agen polisi Belanda
Dalam penasehat terpisah, Layanan Intelijen dan Keamanan Pertahanan Belanda (MIVD) mengaitkan badai salju dengan 23 September 2024, melanggar akun karyawan polisi Belanda melalui serangan pass-the-cookie, yang menyatakan informasi kontak terkait pekerjaan karyawan kepolisian diperoleh oleh aktor ancaman.
Serangan pass-the-cookie mengacu pada skenario di mana penyerang menggunakan cookie curian yang diperoleh melalui malware pencuri informasi untuk masuk ke akun tanpa harus memasukkan nama pengguna dan kata sandi. Saat ini tidak diketahui informasi apa yang dicuri, meskipun sangat mungkin bahwa organisasi Belanda lainnya juga menjadi sasaran.
“Laundry Bear sedang mencari informasi tentang pembelian dan produksi peralatan militer oleh pemerintah barat dan persediaan senjata barat ke Ukraina,” kata direktur MIVD, wakil laksamana Peter Reesink, dalam sebuah pernyataan.
