مايكروسوفت تحذر من سرقة بيانات الاعتماد على نطاق واسع من قبل قراصنة

أمان كلمة المرور
كشفت شركة Microsoft أنها اكتشفت ارتفاعًا حادًا في هجمات سرقة بيانات الاعتماد التي نفذتها مجموعة المتسللين الروسية التابعة للدولة والمعروفة باسم Midnight Blizzard.

قال فريق استخبارات التهديدات بعملاق التكنولوجيا إن عمليات التطفل ، التي تستخدم خدمات الوكيل السكنية للتعتيم على عنوان IP المصدر للهجمات ، والحكومات المستهدفة ، ومقدمي خدمات تكنولوجيا المعلومات ، والمنظمات غير الحكومية ، والدفاع ، وقطاعات التصنيع الهامة.

يتم تتبع Midnight Blizzard ، المعروف سابقًا باسم Nobelium ، أيضًا تحت الألقاب APT29 و Cozy Bear و Iron Hemlock و The Dukes.

واصلت المجموعة ، التي لفتت الانتباه في جميع أنحاء العالم لتسوية سلسلة التوريد SolarWinds في ديسمبر 2020 ، الاعتماد على أدوات غير مرئية في هجماتها المستهدفة التي تستهدف وزارات الخارجية والكيانات الدبلوماسية.

إنها علامة على مدى عزمهم على مواصلة عملياتهم وتشغيلها على الرغم من الكشف عنها ، مما يجعلهم لاعباً هائلاً بشكل خاص في منطقة التجسس.

قالت Microsoft في سلسلة من التغريدات: “تستخدم هجمات بيانات الاعتماد هذه مجموعة متنوعة من تقنيات رش كلمات المرور ، والقوة الغاشمة ، وسرقة الرموز” ، مضيفةً أن الممثل “أجرى أيضًا هجمات إعادة تشغيل الجلسة للحصول على وصول مبدئي إلى الموارد السحابية والاستفادة من الجلسات المسروقة التي تم الحصول عليها على الأرجح. عن طريق البيع غير المشروع “.

كما دعا عملاق التكنولوجيا APT29 لاستخدامها لخدمات الوكيل السكنية لتوجيه حركة المرور الضارة في محاولة للتعتيم على الاتصالات التي تم إجراؤها باستخدام بيانات الاعتماد المخترقة.

قال صانع Windows: “من المحتمل أن يكون ممثل التهديد قد استخدم عناوين IP هذه لفترات قصيرة جدًا ، مما قد يجعل تحديد النطاق والمعالجة أمرًا صعبًا”.

يأتي هذا التطوير في الوقت الذي قامت فيه شركة Recorded Future بتفصيل حملة جديدة للتصيد بالرمح نظمتها APT28 (المعروفة أيضًا باسم BlueDelta و Forest Blizzard و FROZENLAKE و Iron Twilight و Fancy Bear) والتي تستهدف الكيانات الحكومية والعسكرية في أوكرانيا منذ نوفمبر 2021.

استفادت الهجمات من رسائل البريد الإلكتروني التي تحمل مرفقات تستغل نقاط الضعف المتعددة في برنامج البريد الإلكتروني Roundcube مفتوح المصدر (CVE-2020-12641 و CVE-2020-35730 و CVE-2021-44026) لإجراء الاستطلاع وجمع البيانات.

مايكروسوفت
مكّن اختراق ناجح لقراصنة المخابرات العسكرية الروسية من نشر برمجيات جافا سكريبت المارقة التي أعادت توجيه رسائل البريد الإلكتروني الواردة للأفراد المستهدفين إلى عنوان بريد إلكتروني تحت سيطرة المهاجمين وكذلك سرقة قوائم جهات الاتصال الخاصة بهم.

وقالت شركة الأمن السيبراني: “أظهرت الحملة درجة عالية من التأهب ، وتسليح المحتوى الإخباري بسرعة إلى إغراءات لاستغلال المتلقين”. “تضمنت رسائل التصيد الإلكتروني بالرمح موضوعات إخبارية تتعلق بأوكرانيا ، مع خطوط موضوعية ومحتوى يعكس مصادر وسائل الإعلام المشروعة.”

الأمن الإلكتروني
والأهم من ذلك ، يقال إن هذا النشاط يتوافق مع مجموعة أخرى من الهجمات التي تعمل على تسليح ثغرة في يوم الصفر في Microsoft Outlook (CVE-2023-23397) كشفت عنها شركة Microsoft أنها مستخدمة من قبل الجهات الفاعلة في التهديد التي تتخذ من روسيا مقراً لها في “هجمات مستهدفة محدودة” ضد المنظمات الأوروبية.

تمت معالجة ثغرة تصعيد الامتياز كجزء من تحديثات يوم الثلاثاء التي تم طرحها في مارس 2023.

تُظهر النتائج الجهود الدؤوبة التي تبذلها الجهات الفاعلة في مجال التهديد الروسي في جمع معلومات استخباراتية قيمة عن كيانات مختلفة في أوكرانيا وعبر أوروبا ، لا سيما في أعقاب الغزو الشامل للبلاد في فبراير 2022.

تميزت عمليات الحرب الإلكترونية التي تستهدف الأهداف الأوكرانية بشكل ملحوظ بالنشر الواسع لبرامج المساحات الضارة المصممة لحذف البيانات وتدميرها ، مما يجعلها واحدة من أولى حالات الصراع الهجين واسع النطاق.

واختتم ريكورديد فيوتشر قائلاً: “ستستمر BlueDelta بالتأكيد في إعطاء الأولوية لاستهداف الحكومة الأوكرانية ومؤسسات القطاع الخاص لدعم الجهود العسكرية الروسية الأوسع نطاقًا”.