Midnight Blizzard, rilevato un aumento significativo dell’attività del gruppo nation-state

In una serie di tweet, il Microsoft Threat Intelligence Center (MSTIC) ha rilevato un aumento significativo dell’attività di attacco alle credenziali da parte dell’attore di minacce noto con il nome di Midnight Blizzard.

Chi è l’attore delle minacce

Il gruppo nation-state Midnight Blizzard (alias NOBELIUM, APT29 e Cozy Bear) collegato, secondo i governi degli Stati Uniti e UK, ai servizi di intelligence della Federazione Russa SVR, utilizzerebbe una serie di tecniche sofisticate negli attacchi che prevedono metodi di “password spraying”, brute force e furto di token. I target prediletti sarebbero governi, fornitori di servizi IT, ONG, l’industria della difesa e di produzioni critiche negli Stati Uniti e in Europa. Il gruppo sarebbe stato il responsabile degli attacchi alla catena di approvvigionamento contro il software Orion di SolarWinds e noto anche per l’utilizzo dei malware FOGGYWEB e MAGICWEB.

Alcune peculiarità

Nella fattispecie tra le tecniche adottate per contrastare l’efficacia delle azioni di difesa ci sarebbero l’abuso per brevi periodi di tempo di indirizzi IP “low-reputation” comunemente associati a “servizi proxy residenziali”, l’utilizzo di credenziali compromesse e attacchi di tipo “session replay”, per ottenere l’accesso iniziale alle risorse cloud sfruttando sessioni rubate.

Misure di contrasto

Per contrastare la crescente minaccia, Microsoft da parte sua sottolinea di aver rafforzato i propri strumenti di difesa Microsoft Defender Antivirus, Defender per endpoint, Defender per app cloud e Azure Active Directory dotandoli di maggiori protezioni e meccanismi di rilevamento.

Il MSTIC già in passato ha rilasciato una guida tecnica per aziende e clienti per proteggersi dagli attacchi informatici di Nobelium.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.