Microsoft ha revelado que ha detectado un repunte en los ataques de robo de credenciales llevados a cabo por el grupo de piratas informáticos ruso afiliado al Estado, conocido como Midnight Blizzard.
Las intrusiones, que hacían uso de servicios proxy residenciales para ocultar la dirección IP de origen de los ataques, iban dirigidas a gobiernos, proveedores de servicios informáticos, ONG, defensa y sectores manufactureros críticos, según el equipo de inteligencia de amenazas del gigante tecnológico.
Midnight Blizzard, antes conocido como Nobelium, también es rastreado bajo los alias APT29, Cozy Bear, Iron Hemlock y The Dukes.
El grupo, que atrajo la atención mundial por el compromiso de la cadena de suministro de SolarWinds en diciembre de 2020, ha seguido confiando en herramientas invisibles en sus ataques dirigidos a ministerios extranjeros y entidades diplomáticas.
Es una señal de lo decididos que están a mantener sus operaciones en marcha a pesar de estar expuestos, lo que los convierte en un actor particularmente formidable en el área del espionaje.
El gigante de la tecnología también llamó a APT29 por su uso de servicios proxy residenciales para enrutar el tráfico malicioso en un intento de ofuscar las conexiones realizadas utilizando credenciales comprometidas.
La noticia llega en el momento en que Recorded Future detalla una nueva campaña de spear-phishing orquestada por APT28 (alias BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight y Fancy Bear) dirigida a entidades gubernamentales y militares en Ucrania desde noviembre de 2021.
Los ataques aprovecharon correos electrónicos con archivos adjuntos que explotaban múltiples vulnerabilidades en el software de correo web de código abierto Roundcube (CVE-2020-12641, CVE-2020-35730 y CVE-2021-44026) para llevar a cabo el reconocimiento y la recopilación de datos.
Una brecha exitosa permitió a los atacantes de la inteligencia militar rusa desplegar malware JavaScript malicioso que redirigía los correos electrónicos entrantes de las personas objetivo a una dirección de correo electrónico bajo el control de los atacantes, así como robar sus listas de contactos.
Los hallazgos demuestran los persistentes esfuerzos de los actores de amenazas rusos por recopilar valiosa información de inteligencia sobre diversas entidades de Ucrania y de toda Europa, especialmente tras la invasión a gran escala del país en febrero de 2022.
Las operaciones de ciberguerra dirigidas contra objetivos ucranianos se han caracterizado especialmente por el despliegue generalizado de malware wiper diseñado para borrar y destruir datos, convirtiéndolo en uno de los primeros casos de conflicto híbrido a gran escala.
