Cyberthreat.id - Microsoft mengungkapkan telah mendeteksi lonjakan serangan pencurian kredensial yang dilakukan kelompok peretas yang berafiliasi dengan negara Rusia yang dikenal sebagai Midnight Blizzard. Demikian laporan The Hacker News.

Disebutkan, intrusi, yang memanfaatkan layanan proxy perumahan untuk mengaburkan alamat IP sumber serangan, menargetkan pemerintah, penyedia layanan TI, LSM, pertahanan, dan sektor manufaktur kritis, kata tim intelijen ancaman raksasa teknologi itu.

“Midnight Blizzard, sebelumnya dikenal sebagai Nobelium, juga dilacak di bawah nama APT29, Cozy Bear, Iron Hemlock, dan The Dukes,” tulis The Hacker News.

Grup, yang menarik perhatian dunia untuk kompromi rantai pasokan SolarWinds pada Desember 2020, terus mengandalkan alat tak terlihat dalam serangan yang ditargetkan yang ditujukan pada kementerian luar negeri dan entitas diplomatik.

Ini adalah tanda betapa bertekadnya mereka untuk mempertahankan operasi mereka dan berjalan meskipun terungkap, yang membuat mereka menjadi aktor yang sangat tangguh di bidang spionase.

"Serangan kredensial ini menggunakan berbagai teknik password spray, brute-force, dan pencurian token," kata Microsoft dalam serangkaian tweet, menambahkan aktor tersebut "juga melakukan serangan pemutaran ulang sesi untuk mendapatkan akses awal ke sumber daya cloud dengan memanfaatkan sesi yang dicuri yang kemungkinan diperoleh melalui penjualan gelap.”

Raksasa teknologi itu selanjutnya memanggil APT29 karena menggunakan layanan proxy perumahan untuk merutekan lalu lintas berbahaya dalam upaya mengaburkan koneksi yang dibuat menggunakan kredensial yang disusupi.

"Aktor ancaman kemungkinan menggunakan alamat IP ini untuk waktu yang sangat singkat, yang dapat membuat pelingkupan dan remediasi menjadi sulit," kata pembuat Windows.

Perkembangan tersebut terjadi saat Recorded Future merinci kampanye spear-phishing baru yang diatur oleh APT28 (alias BlueDelta, Forest Blizzard, FROZENLAKE, Iron Twilight, dan Fancy Bear) yang menargetkan entitas pemerintah dan militer di Ukraina sejak November 2021.

Serangan tersebut memanfaatkan email yang berisi lampiran yang mengeksploitasi beberapa kerentanan dalam perangkat lunak webmail Roundcube sumber terbuka (CVE-2020-12641, CVE-2020-35730, dan CVE-2021-44026) untuk melakukan pengintaian dan pengumpulan data.

Pelanggaran yang berhasil memungkinkan peretas intelijen militer Rusia untuk menyebarkan malware JavaScript nakal yang mengalihkan email masuk dari individu yang ditargetkan ke alamat email di bawah kendali penyerang serta mencuri daftar kontak mereka.

"Kampanye tersebut menampilkan tingkat kesiapan yang tinggi, dengan cepat mempersenjatai konten berita menjadi umpan untuk mengeksploitasi penerima," kata perusahaan keamanan siber itu. "Email spear-phishing berisi tema berita yang terkait dengan Ukraina, dengan baris subjek dan konten yang mencerminkan sumber media yang sah."

Lebih penting lagi, aktivitas tersebut dikatakan cocok dengan serangkaian serangan lain yang mempersenjatai cacat zero-day di Microsoft Outlook (CVE-2023-23397) yang diungkapkan Microsoft sebagai digunakan dalam "serangan bertarget terbatas" terhadap organisasi Eropa.

Kerentanan eskalasi hak istimewa telah diatasi sebagai bagian dari pembaruan Patch Tuesday yang diluncurkan pada Maret 2023.

Temuan ini menunjukkan upaya gigih aktor ancaman Rusia dalam memanen intelijen berharga pada berbagai entitas di Ukraina dan di seluruh Eropa, terutama setelah invasi besar-besaran negara itu pada Februari 2022.

Operasi cyberwarfare yang ditujukan untuk target Ukraina telah ditandai dengan meluasnya penyebaran malware penghapus yang dirancang untuk menghapus dan menghancurkan data, mengubahnya menjadi salah satu contoh paling awal dari konflik hibrida berskala besar.

“BlueDelta hampir pasti akan terus memprioritaskan penargetan pemerintah Ukraina dan organisasi sektor swasta untuk mendukung upaya militer Rusia yang lebih luas,” pungkas Recorded Future.[]