In una serie di tweet, il Microsoft Threat Intelligence Center (MSTIC) ha rilevato un aumento significativo dell’attività di attacco alle credenziali da parte dell’attore di minacce noto con il nome di Midnight Blizzard.
Chi è l’attore delle minacce
Il gruppo nation-state Midnight Blizzard (alias NOBELIUM, APT29 e Cozy Bear) collegato, secondo i governi degli Stati Uniti e UK, ai servizi di intelligence della Federazione Russa SVR, utilizzerebbe una serie di tecniche sofisticate negli attacchi che prevedono metodi di “password spraying”, brute force e furto di token. I target prediletti sarebbero governi, fornitori di servizi IT, ONG, l’industria della difesa e di produzioni critiche negli Stati Uniti e in Europa. Il gruppo sarebbe stato il responsabile degli attacchi alla catena di approvvigionamento contro il software Orion di SolarWinds e noto anche per l’utilizzo dei malware FOGGYWEB e MAGICWEB.
Alcune peculiarità
Nella fattispecie tra le tecniche adottate per contrastare l’efficacia delle azioni di difesa ci sarebbero l’abuso per brevi periodi di tempo di indirizzi IP “low-reputation” comunemente associati a “servizi proxy residenziali”, l’utilizzo di credenziali compromesse e attacchi di tipo “session replay”, per ottenere l’accesso iniziale alle risorse cloud sfruttando sessioni rubate.
Misure di contrasto
Per contrastare la crescente minaccia, Microsoft da parte sua sottolinea di aver rafforzato i propri strumenti di difesa Microsoft Defender Antivirus, Defender per endpoint, Defender per app cloud e Azure Active Directory dotandoli di maggiori protezioni e meccanismi di rilevamento.
Il MSTIC già in passato ha rilasciato una guida tecnica per aziende e clienti per proteggersi dagli attacchi informatici di Nobelium.