Microsoft گزارش داد که گروه هکری وابسته به روسیه، Void Blizzard (ملقب به Laundry Bear) ، از آوریل ۲۰۲۴ در یک سلسله فعالیت مخرب با سوءاستفاده از سرویسهای ابری، بیش از ۲۰ سازمان غیردولتی (NGO) در اروپا و آمریکا را هدف قرار داده است. این گروه با عملیات جاسوسی مرتبط است و سازمانهای دولتی، دفاعی، حملونقل، رسانهای، بهداشتی و NGOها را در اروپا و آمریکای شمالی مورد حمله قرار میدهد.
Microsoft اعلام کرد که Void Blizzard اغلب از اطلاعات ورود سرقتشده که احتمالا از بازارهای زیرزمینی خریداریشده، برای دسترسی به سازمانها استفاده میکند و حجم زیادی از ایمیلها و فایلها را به سرقت میبرد. این حملات کشورهای عضو ناتو و اوکراین را هدف قرار دادهاند، که نشاندهنده تلاش برای جمعآوری اطلاعات در راستای اهداف استراتژیک روسیه است.
این گروه بهویژه نهادهای دولتی و نیروهای انتظامی در کشورهای حامی نظامی یا بشردوستانه اوکراین را هدف قرار داده و حملات موفقی علیه بخشهای آموزش، حملونقل و دفاعی اوکراین انجام داده است. در اکتبر ۲۰۲۴، Void Blizzard به حسابهای کاربری یک سازمان هوانوردی اوکراینی نفوذ کرد که پیشتر در سال ۲۰۲۲ توسط گروه Seashell Blizzard (وابسته به GRU روسیه) هدف قرار گرفته بود.
زنجیره حمله فیشینگ Evilginx
حملات Void Blizzard بهصورت فرصتطلبانه، هدفمند و با حجم بالا طراحی شدهاند. روشهای اولیه دسترسی شامل اسپری رمز عبور (password spraying) و استفاده از اطلاعات تأیید هویت سرقتشده، احتمالا از لاگهای بدافزارهای سرقت اطلاعات، هستند. مهاجمان با این اطلاعات به سرویسهای Exchange Online و SharePoint Online نفوذ کرده و ایمیلها و فایلها را سرقت میکنند.
مایکروسافت گزارش داد که در برخی موارد، مهاجمان با ابزار متنباز AzureHound پیکربندی Microsoft Entra ID سازمان قربانی را بررسی کرده و اطلاعاتی درباره کاربران، نقشها، گروهها، برنامهها و دستگاهها جمعآوری میکنند.
اخیرا، Void Blizzard به روشهای مستقیمتر مانند ایمیلهای فیشینگ هدفمند روی آورده که قربانیان را به وارد کردن اطلاعات لاگین در صفحات جعلی به شکل نفوذگر در میانه ارتباط (AitM)، ترغیب میکنند. این حملات از دامنهای با حروف مشابه (micsrosoftonline[.]com) برای جعل پورتال Microsoft Entra استفاده کرده و بیش از ۲۰ NGO را هدف قرار دادهاند. ایمیلها وانمود میکردند از برگزارکننده «نشست اروپایی دفاع و امنیت» هستند و شامل PDF جعلی با دعوتنامه و کد QR مخرب بودند که به صفحه فیشینگ هدایت میکرد. این صفحه احتمالا با کیت متنباز Evilginx ساخته شده است.
اقدامات پس از نفوذ
پس از نفوذ، Void Blizzard از Exchange Online و Microsoft Graph برای شناسایی و سرقت ایمیلها و فایلهای ابری استفاده کرده و با مکانیزمهای خودکار، دادهها را بهصورت انبوه جمعآوری میکند. در برخی موارد، مهاجمان به مکالمات و پیامهای Microsoft Teams از طریق نسخه وب دسترسی یافتهاند.
مایکروسافت اعلام کرد که بسیاری از سازمانهای قربانی با حملات سایر گروههای روسی مانند Forest Blizzard، Midnight Blizzard و Secret Blizzard همپوشانی دارند، که نشاندهنده علایق مشترک این گروهها در جاسوسی است.
نفوذ به پلیس هلند
MIVD هلند گزارش داد که در ۲۳ سپتامبر ۲۰۲۴، Void Blizzard با حمله Pass-the-Cookie به حساب یک کارمند پلیس هلند نفوذ کرد و اطلاعات تماس شغلی کارکنان را سرقت نمود. این حمله با استفاده از کوکیهای سرقتشده توسط بدافزارهای رباینده اطلاعات، بدون نیاز به نام کاربری و رمز عبور، انجام میشود.
MIVD اعلام کرد که Void Blizzard به دنبال اطلاعاتی درباره خرید و تولید تجهیزات نظامی و ارسال تسلیحات به اوکراین است. هنوز مشخص نیست چه اطلاعات دیگری سرقت شدهاست؛ اما احتمال هدفگیری سایر نهادهای هلندی وجود دارد.
