烏克蘭戰爭迄今仍尚未結束,有越來越多駭客組織從事網路間諜活動,協助俄羅斯政府從烏克蘭及北約國家組織(NATO)盟友收集軍事情報,並引起歐美國家關注。
微軟威脅情資中心指出,他們與荷蘭情報暨安全總局(Netherlands General Intelligence and Security Service,AIVD)、荷蘭軍事情報暨安全局(Netherlands Defence Intelligence and Security Service,MIVD)、美國聯邦調查局(FBI)進行合作,調查被稱為Void Blizzard、Laundry Bear的新興駭客組織,並指出這些駭客近期針對歐美非政府組織(NGO)發動大規模攻擊。
此駭客組織主要鎖定俄羅斯政府感到興趣的企業組織發動攻擊,涵蓋全球的政府機關、國防、交通運輸、媒體、非政府組織、醫療照護,大部分攻擊活動集中於歐洲及北美。這些駭客入侵受害組織的主要管道,通常是使用疑似從地下市集買到的外流帳密資料,一旦成功進入網路環境,就會大肆偷取電子郵件與內部檔案。研究人員提到,他們在今年4月看到更直接竊取密碼的手法,那就是藉由冒牌電子郵件網釣,引誘收信人上當並提供登入所需資料。
針對這些駭客的相關活動,研究人員指出最早可追溯到去年4月,駭客從事一系列的雲端濫用行動引起他們的注意。雖然全球各地都有這些駭客的蹤跡,但是絕大部分活動是針對北約國家組織成員及烏克蘭而來,研究人員認為很有可能是為了收集軍事情報,協助俄羅斯政府達成戰略目標。
值得留意的是,Void Blizzard定期鎖定政府機關與執法單位下手,尤其是對於北約國家組織成員國,以及向烏克蘭提供軍事或人道支援的國家。其中,研究人員特別提及駭客已滲透烏克蘭教育、交通運輸、國防組織,又以去年10月對當地航空組織出手,並提及另一個俄羅斯駭客Sandworm(Seashell Blizzard、APT44)曾於2022年對其發動攻擊。
針對這些駭客的攻擊流程,研究人員提及通常會用密碼潑灑(Password Spraying)或是外流的帳密入侵受害組織,大部分會用於存取Exchange郵件伺服器,但也有為了挖掘特定資料存取SharePoint Online的情況。
研究人員在4月看到駭客針對歐洲及美國逾20個非政府組織,從事對手中間人(AiTM)網釣攻擊,利用域名搶註手法製作冒牌Microsoft Entra身分驗證入口網站,駭客佯稱是歐洲國防安全高峰會的參與者,挾帶PDF附件,引誘收信人上當。
此PDF檔案內含惡意QR Code,一旦依照指示操作,收信人就會被帶往釣魚網頁。微軟推測駭客使用網釣工具包Evilginx從事活動,並從中竊取使用者名稱、密碼、cookie等身分驗證資料。
一旦攻擊者成功取得受害組織的存取權限,就會濫用Exchange Online和Microsoft Graph等服務的雲端API,找出使用者的電子郵件,以及存放於雲端的檔案,並疑似透過自動化的方式搜括受害者能夠存取的資料。
在部分攻擊行動裡,駭客還會試圖利用網頁版Teams存取對話內容,或是透過公用程式AzureHound找出受害組織的Entra ID組態配置,以便進一步掌握租戶相關資訊。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
