Корпорация Microsoft выявила деятельность новой хакерской группы Void Blizzard (также известной как LAUNDRY BEAR). Согласно отчету Microsoft Threat Intelligence, группировка с апреля 2024 года ведет кибершпионаж против организаций в сфере госуправления, обороны, транспорта, СМИ, НКО и здравоохранения, преимущественно в странах НАТО и Украине.
Описание
Цели и методы атак
Активность Void Blizzard направлена на сбор разведданных. Группировка использует украденные учетные данные, приобретаемые на теневых форумах, а также фишинговые письма с поддельными приглашениями и QR-кодами, ведущими на фальшивые страницы входа.
В апреле 2025 года хакеры начали применять атаки "человек посередине" (AitM) с использованием фреймворка Evilginx, имитирующего страницы авторизации Microsoft Entra. После взлома аккаунтов злоумышленники массово выгружают почту, файлы и даже переписку в Microsoft Teams, а также анализируют инфраструктуру жертв с помощью инструмента AzureHound.
Ключевые жертвы
- Украинские авиационные и транспортные компании, ранее атакованные другими российскими группировками, такими как Seashell Blizzard и Forest Blizzard.
- НКО в Европе и США, включая организации, связанные с поддержкой Украины.
- Поставщики авиадиспетчерских услуг в странах НАТО.
Специалисты отмечают, что, несмотря на относительно простые методы взлома, Void Blizzard демонстрирует высокую эффективность за счет массовости и целевого подбора жертв.
Индикаторы компрометации
Domains
- ebsumrnit.eu
- micsrosoftonline.com
- outlook-office.micsrosoftonline.com
SHA256
- 06a5bd9cb3038e3eec1c68cb34fc3f64933dba2983e39a0b1125af8af32c8ddb