{"id":3383,"date":"2025-05-30T09:41:45","date_gmt":"2025-05-30T09:41:45","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3383"},"modified":"2025-05-30T09:41:45","modified_gmt":"2025-05-30T09:41:45","slug":"void-blizzard-nimmt-nato-organisationen-ins-visier","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3383","title":{"rendered":"Void Blizzard nimmt NATO-Organisationen ins Visier"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Russische Hacker \u00e4ndern ihre Taktik von Passwort-Spraying zu Phishing, aber ihre Ziele innerhalb der NATO bleiben gleich.<\/p>\n

PX Media \u2013 Shutterstock.com<\/p>\n<\/div>\n

Seit \u00fcber einem Jahr hat es eine neue Cyberspionage-Gruppe, die mit der russischen<\/a> Regierung in Verbindung stehen soll, auf Unternehmen aus verschiedenen Branchen innerhalb der NATO abgesehen. Die Gruppe wird von Microsoft Threat Intelligence<\/a> \u201eVoid Blizzard\u201d genannt. Die niederl\u00e4ndischen Geheimdienste haben ihr den Namen \u201eLaundry Bear\u201d gegeben. Sie nutzt kompromittierte Anmeldeinformationen, um auf Postf\u00e4cher zuzugreifen und gro\u00dfe Mengen an E-Mails sowie Daten aus internen Netzwerken zu stehlen.<\/p>\n

Kritische Infrastrukturen besonders im Visier<\/strong><\/h2>\n

Laut Microsoft f\u00fchrt die Hackergruppe gezielte Cyberspionage<\/a> gegen NATO-Staaten und die Ukraine durch, offenbar, um russische Interessen zu unterst\u00fctzen. Besonders gef\u00e4hrdet sind kritische Sektoren wie Verteidigung, Kommunikation, Gesundheitswesen, IT, Regierung und Transport.<\/p>\n

Nachdem Void Blizzard im September 2024 erfolgreich die niederl\u00e4ndische Polizei gehackt hatte, kooperierte Microsoft mit den niederl\u00e4ndischen Geheimdiensten<\/a> AIVD und MIVD. Die Gruppe verfolgt \u00e4hnliche Ziele wie andere russische Cyberspionagegruppen, nutzt jedoch weniger ausgefeilte Zugriffstechniken, so die Experten.<\/p>\n

Strategische Ziele im Fokus russischer Hacker<\/strong><\/h2>\n

Bisher nutzte Laundry Bear vor allem Passwort-Spraying und kaufte gestohlene Zugangsdaten aus Untergrundm\u00e4rkten, die insbesondere von Infostealer-Malware stammen. Beim Angriff auf die niederl\u00e4ndische Polizei gelangte die Gruppe \u00fcber ein gestohlenes Sitzungs-Cookie in ein Mitarbeiterkonto.<\/p>\n

Mithilfe solcher Cookies k\u00f6nnen sich Angreifer ohne Passwort anmelden. Dieser Vorgang ist auch als Pass-the-Cookie-Angriff bekannt. Danach<\/p>\n

greifen sie \u00fcber Exchange-Dienste auf Netzwerke zu,<\/p>\n

laden beispielsweise die Global Address List herunter und<\/p>\n

nutzen diese Informationen f\u00fcr Passwort-Spraying-Angriffe auf delegierte E-Mail-Konten.<\/p>\n

Die Kriminellen verwenden keine eigene Malware, sondern setzen auf Living-off-the-Land-Taktiken (LOTL<\/a>). Hierbei nutzen sie vorhandene administrative Tools in kompromittierten Systemen. Obwohl einige Angriffe opportunistisch sind, konzentriert sich die Bande haupts\u00e4chlich auf Organisationen, die im Kontext des Angriffskriegs Russlands in der Ukraine strategisch wichtig sind.<\/p>\n

Verteidigungsministerien,<\/p>\n

Botschaften,<\/p>\n

Streitkr\u00e4fte und<\/p>\n

Verteidigungsfirmen in NATO-Staaten.<\/p>\n

Von Spraying zu Phishing<\/strong><\/h2>\n

In den letzten Monaten hat die Gruppe Void Blizzard ihre Angriffsmethoden ge\u00e4ndert: Statt Passwort-Spraying kommt nun gezieltes Spear-Phishing mit Adversary-in-the-Middle-Techniken (AitM) zum Einsatz. Dabei wurden Nutzer \u00fcber gef\u00e4lschte Microsoft-Entra-Anmeldeseiten auf eine mittels Typosquatting verschleierte, betr\u00fcgerische Domain gelockt. Im April f\u00fchrte dies dazu, dass 20 NGOs kompromittiert wurden. Die Angreifer nutzten das Open-Source-Phishing-Framework \u201eEvilginx\u201d, um Zugangsdaten und Sitzungscookies zu stehlen.<\/p>\n

Nachdem sie Zugriff erhalten hatten, verwendeten sie legitime Microsoft-Cloud-APIs, um E-Mails, Dateien und Teams-Kommunikation auszusp\u00e4hen. Zudem kam das Open-Source-Tool \u201eAzureHound\u201d zum Einsatz. Ziel war es, detaillierte Informationen \u00fcber die \u201eMicrosoft Entra ID\u201d-Struktur der Opfer zu sammeln.<\/p>\n

Anmeldehygiene und Minimalrechte<\/strong><\/h2>\n

Microsoft empfiehlt Abfragen zur Bedrohungssuche in Microsoft XDR und Azure Sentinel sowie den Einsatz von Richtlinien f\u00fcr bedingten Zugriff zu nutzen. So sollen sich Anmeldungsrisiken erkennen und automatisch Zugriffssperren oder Multi-Faktor-Authentifizierungs (MFA)-Anfragen ausl\u00f6sen lassen. Besonders empfohlen werden Phishing-resistente Authentifizierungsmethoden wie FIDO-Tokens oder der Microsoft Authenticator mit Passkey, da bei telefonbasierter MFA SIM-Jacking-Risiken bestehen.<\/p>\n

Die Identit\u00e4tsverwaltung zu zentralisieren und in einem SIEM zu protokollieren, sollen helfen, verd\u00e4chtige Aktivit\u00e4ten zu erkennen. Zudem sind laut den Experten eine gute Anmeldehygiene und das Prinzip der geringsten Privilegien essenziell.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Russische Hacker \u00e4ndern ihre Taktik von Passwort-Spraying zu Phishing, aber ihre Ziele innerhalb der NATO bleiben gleich. PX Media \u2013 Shutterstock.com Seit \u00fcber einem Jahr hat es eine neue Cyberspionage-Gruppe, die mit der russischen Regierung in Verbindung stehen soll, auf Unternehmen aus verschiedenen Branchen innerhalb der NATO abgesehen. Die Gruppe wird von Microsoft Threat Intelligence […]<\/p>\n","protected":false},"author":0,"featured_media":3384,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3383","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3383"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3383"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3383\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3384"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3383"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3383"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3383"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}