Void Blizzard nimmt NATO-Organisationen ins Visier – Source: www.csoonline.com

Seit über einem Jahr hat es eine neue Cyberspionage-Gruppe, die mit der russischen Regierung in Verbindung stehen soll, auf Unternehmen aus verschiedenen Branchen innerhalb der NATO abgesehen. Die Gruppe wird von Microsoft Threat Intelligence „Void Blizzard” genannt. Die niederländischen Geheimdienste haben ihr den Namen „Laundry Bear” gegeben. Sie nutzt kompromittierte Anmeldeinformationen, um auf Postfächer zuzugreifen und große Mengen an E-Mails sowie Daten aus internen Netzwerken zu stehlen.

Kritische Infrastrukturen besonders im Visier

Laut Microsoft führt die Hackergruppe gezielte Cyberspionage gegen NATO-Staaten und die Ukraine durch, offenbar, um russische Interessen zu unterstützen. Besonders gefährdet sind kritische Sektoren wie Verteidigung, Kommunikation, Gesundheitswesen, IT, Regierung und Transport.

Nachdem Void Blizzard im September 2024 erfolgreich die niederländische Polizei gehackt hatte, kooperierte Microsoft mit den niederländischen Geheimdiensten AIVD und MIVD. Die Gruppe verfolgt ähnliche Ziele wie andere russische Cyberspionagegruppen, nutzt jedoch weniger ausgefeilte Zugriffstechniken, so die Experten.

Strategische Ziele im Fokus russischer Hacker

Bisher nutzte Laundry Bear vor allem Passwort-Spraying und kaufte gestohlene Zugangsdaten aus Untergrundmärkten, die insbesondere von Infostealer-Malware stammen. Beim Angriff auf die niederländische Polizei gelangte die Gruppe über ein gestohlenes Sitzungs-Cookie in ein Mitarbeiterkonto.

Mithilfe solcher Cookies können sich Angreifer ohne Passwort anmelden. Dieser Vorgang ist auch als Pass-the-Cookie-Angriff bekannt. Danach

• greifen sie über Exchange-Dienste auf Netzwerke zu,
• laden beispielsweise die Global Address List herunter und
• nutzen diese Informationen für Passwort-Spraying-Angriffe auf delegierte E-Mail-Konten.

Die Kriminellen verwenden keine eigene Malware, sondern setzen auf Living-off-the-Land-Taktiken (LOTL). Hierbei nutzen sie vorhandene administrative Tools in kompromittierten Systemen. Obwohl einige Angriffe opportunistisch sind, konzentriert sich die Bande hauptsächlich auf Organisationen, die im Kontext des Angriffskriegs Russlands in der Ukraine strategisch wichtig sind.

• Verteidigungsministerien,
• Botschaften,
• Streitkräfte und
• Verteidigungsfirmen in NATO-Staaten.

Von Spraying zu Phishing

In den letzten Monaten hat die Gruppe Void Blizzard ihre Angriffsmethoden geändert: Statt Passwort-Spraying kommt nun gezieltes Spear-Phishing mit Adversary-in-the-Middle-Techniken (AitM) zum Einsatz. Dabei wurden Nutzer über gefälschte Microsoft-Entra-Anmeldeseiten auf eine mittels Typosquatting verschleierte, betrügerische Domain gelockt. Im April führte dies dazu, dass 20 NGOs kompromittiert wurden. Die Angreifer nutzten das Open-Source-Phishing-Framework „Evilginx”, um Zugangsdaten und Sitzungscookies zu stehlen.

Nachdem sie Zugriff erhalten hatten, verwendeten sie legitime Microsoft-Cloud-APIs, um E-Mails, Dateien und Teams-Kommunikation auszuspähen. Zudem kam das Open-Source-Tool „AzureHound” zum Einsatz. Ziel war es, detaillierte Informationen über die „Microsoft Entra ID”-Struktur der Opfer zu sammeln.

Anmeldehygiene und Minimalrechte

Microsoft empfiehlt Abfragen zur Bedrohungssuche in Microsoft XDR und Azure Sentinel sowie den Einsatz von Richtlinien für bedingten Zugriff zu nutzen. So sollen sich Anmeldungsrisiken erkennen und automatisch Zugriffssperren oder Multi-Faktor-Authentifizierungs (MFA)-Anfragen auslösen lassen. Besonders empfohlen werden Phishing-resistente Authentifizierungsmethoden wie FIDO-Tokens oder der Microsoft Authenticator mit Passkey, da bei telefonbasierter MFA SIM-Jacking-Risiken bestehen.

Die Identitätsverwaltung zu zentralisieren und in einem SIEM zu protokollieren, sollen helfen, verdächtige Aktivitäten zu erkennen. Zudem sind laut den Experten eine gute Anmeldehygiene und das Prinzip der geringsten Privilegien essenziell.