Microsoft ha scoperto un nuovo gruppo di cybercriminali russi, denominato Void Blizzard, che effettua principalmente attacchi contro aziende di paesi membri della NATO e alleati dell’Ucraina. Vengono prese di mira aziende che operano in determinati settori, tra cui difesa, trasporto e sanità, a scopo di cyberspionaggio.
Tecniche utilizzate da Void Blizzard
I cybercriminali del gruppo Void Blizzard sfruttano prevalentemente tecniche non sofisticate per l’accesso iniziale, come il furto di password e l’utilizzo di credenziali di autenticazione rubate. Ottengono cookie e credenziali da altre fonti e li utilizzano per accedere a Exchange o SharePoint Online per la raccolta di informazioni.
Per un recente attacco (aprile 2025) è stato inviato via email un invito per un summit a 20 organizzazioni non governative. Nel documento PDF allegato c’era un codice QR che portava ad una pagina fake di autenticazione con Microsoft Entra. Sfruttando la tecnica AitM (Adversary-in-the-Middle) sono state intercettate le credenziali di login insieme ai cookie di sessione.
I cybercriminali hanno quindi avuto accesso a Exchange Online e alle caselle di posta. Dopo aver preso il controllo degli account hanno sottratto tutti i messaggi e i file condivisi. In alcuni casi sono riusciti anche ad accedere alle conversazione su Microsoft Teams.
L’azienda di Redmond ha pubblicato una serie di misure da implementare per limitare i rischi, tra cui l’uso dell’autenticazione multi-fattore e la gestione centralizzata delle identità all’interno dell’azienda.
Ti potrebbe interessare
30 mag 2025