كشفت شركة مايكروسوفت عن مجموعة جديدة من الأنشطة الخبيثة المرتبطة بمجموعة تهديد سيبراني تدعى Void Blizzard ، والتي يُعتقد أنها تعمل لصالح جهات روسية حكومية. بدأت هذه المجموعة نشاطها منذ أبريل 2024، واستهدفت مؤسسات حكومية وعسكرية وإعلامية ومنظمات غير حكومية في أوروبا وأمريكا الشمالية.
وأفادت مايكروسوفت بأن الهجمات تعتمد بشكل أساسي على استخدام بيانات تسجيل دخول مسروقة ، غالبًا ما يتم شراؤها من منصات الإنترنت السوداء، للوصول إلى أنظمة المؤسسات المستهدفة وسرقة كميات كبيرة من البيانات ورسائل البريد الإلكتروني.
من بين الأساليب التي استخدمتها المجموعة:
– التصيد الاحتيالي عبر صفحات مزيفة تحاكي بوابة المصادقة Microsoft Entra، حيث تم استهداف أكثر من 20 منظمة غير حكومية باستخدام بريد إلكتروني احتيالي يحتوي على رموز QR ضارة توجه الضحايا نحو مواقع تصيد مصممة لسرقة بيانات تسجيل الدخول.
– استخدام أدوات متاحة للجمهور مثل AzureHound لجمع معلومات عن المستخدمين والتطبيقات والأجهزة الخاصة بالمؤسسات المخترقة.
– هجمات “تمرير الكوكيز” ، كما حدث في هجوم على وكالة الشرطة الهولندية في سبتمبر 2024، حيث تمكن القراصنة من استخدام ملفات تعريف الارتباط المسروقة لتسجيل الدخول دون الحاجة إلى كلمات مرور.
مايكروسوفت أكدت أن العديد من هذه الهجمات تتداخل مع عمليات سابقة نفذتها مجموعات روسية أخرى مثل Forest Blizzard و Midnight Blizzard ، مما يشير إلى وجود أهداف استخباراتية مشتركة بين هذه الجهات الفاعلة.
