У п’ятницю Microsoft повідомила, що хакерська група, яку вона називає Midnight Blizzard, також відома як APT29 або Cozy Bear – і яку, як вважають, спонсорує російський уряд – зламала деякі корпоративні електронні поштові скриньки, в тому числі скриньки “вищого керівництва компанії і співробітників, які займаються кібербезпекою, юридичними та іншими функціями”.

Цікаво, що хакери не полювали за даними клієнтів або традиційною корпоративною інформацією, за якою вони зазвичай полювали. Вони хотіли дізнатися більше про себе, а точніше, вони хотіли дізнатися, що Microsoft знає про них, повідомляє компанія.

“Розслідування вказує на те, що вони спочатку націлювалися на електронні поштові скриньки для отримання інформації, пов’язаної з самою Midnight Blizzard”, – написала компанія у своєму блозі та у повідомленні для SEC.

За даними Microsoft, хакери застосували “атаку розпилення паролів” – по суті, грубий підбір – проти застарілого облікового запису, а потім використали дозволи цього облікового запису “для доступу до дуже невеликого відсотка корпоративних електронних поштових скриньок Microsoft”.

Microsoft не повідомила, скільки облікових записів електронної пошти було зламано, а також яку саме інформацію хакери отримали доступ або викрали.

Microsoft скористалася новиною про цей злам, щоб розповісти про те, як вони збираються рухатися далі, щоб зробити себе більш захищеними.

“Для Microsoft цей інцидент підкреслив нагальну необхідність рухатися ще швидше. Ми будемо діяти негайно, щоб застосувати наші поточні стандарти безпеки до застарілих систем і внутрішніх бізнес-процесів, що належать Microsoft, навіть якщо ці зміни можуть спричинити порушення існуючих бізнес-процесів”, – написали в компанії. “Це, ймовірно, спричинить певний збій, поки ми адаптуємося до нової реальності, але це необхідний крок, і лише перший з декількох, які ми зробимо, щоб прийняти цю філософію”.

APT29, або Cozy Bear, вважається російською хакерською групою, відповідальною за низку гучних атак, зокрема, проти SolarWinds у 2019 році та багатьох інших.

Ця стаття Хакери зламали Microsoft, щоб дізнатися, що Microsoft знає про них раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Російські кібершпигуни, пов’язані з фсб, були помічені у використанні USB-хробака під назвою LitterDrifter для атак на українські організації.

Check Point, який детально описав останні тактики Gamaredon (також відомого як Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm і Winterflounder), назвав цю групу такою, що бере участь у широкомасштабних кампаніях, які супроводжуються “зусиллями зі збору даних, спрямованими на конкретні об’єкти, вибір яких, ймовірно, мотивований шпигунськими цілями”.

Як діє LitterDrifter?

Хробак LitterDrifter має дві основні функції: автоматичне поширення шкідливого програмного забезпечення через підключені USB-накопичувачі, а також зв’язок з командно-контрольними (C&C) серверами зловмисників. Підозрюється, що він є еволюцією USB-черв’яка на основі PowerShell, який раніше був виявлений компанією Symantec у червні 2023 року.

Читайте також: Чим Вам загрожує підключення невідомих USB? Поради із захисту

Написаний на VBS, модуль-розповсюджувач відповідає за розповсюдження хробака у вигляді прихованого файлу на USB-накопичувачі разом з приманкою LNK, якій присвоюються випадкові імена. Свою назву LitterDrifter шкідливе програмне забезпечення отримало через те, що початковий компонент оркестровки має ім’я “trash.dll”.

LitterDrifter також здатний підключатися до C&C-сервера, витягнутого з Telegram-каналу – тактика, яку зловмисники неодноразово використовували принаймні з початку року. Фірма з кібербезпеки заявила, що також виявила ознаки можливого зараження за межами України на основі даних VirusTotal з США, В’єтнаму, Чилі, Польщі, Німеччини та Гонконгу.

Передумови атаки

Gamaredon активно діяв цього року, постійно вдосконалюючи свої методи атаки. У липні 2023 року з’ясувалося, що зловмисник здатен швидко викрадати дані, передаючи конфіденційну інформацію протягом години після початкової компрометації.

Читайте також

Російські хакери APT28 атакують українські держустанови через вразливість Zimbra

Урядовий інструментарій США для злому iPhone опинився в руках іноземних шпигунів і злочинців

Інші фронти Європи: іноземні гібридні загрози в ЄС

Як розпізнати «руку Кремля»: методи виявлення та атрибуції російських інформаційних операцій

Когнітивна війна: головна загроза XXI століття

Раніше цього тижня Команда реагування на комп’ютерні надзвичайні ситуації в Україні (CERT-UA) виявила фішингову кампанію, яка поширює шкідливі RAR-архіви, що містять PDF-документ нібито від Служби безпеки України (СБУ), але насправді є виконуваним файлом, який призводить до розгортання вірусу-шкідника Remcos RAT. CERT-UA відстежує активність під псевдонімом UAC-0050, яка також була пов’язана з іншою серією кібератак, спрямованих на державні органи країни з метою доставки Remcos RAT у лютому 2023 року.

Ця стаття Російська група кібершпигунів використовує USB-хробака для атак на українські організації раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня