Un nuovo allarme nel mondo della sicurezza informatica arriva da Void Blizzard, un gruppo hacker legato alla Russia che, secondo recenti analisi, ha violato oltre 20 organizzazioni non governative (NGO) attraverso sofisticate campagne di phishing. Questo attacco si distingue per l’uso di pagine fake di Microsoft Entra e di strumenti malevoli come Evilginx, una piattaforma open-source spesso impiegata per il furto di credenziali tramite tecniche di adversary-in-the-middle.

Obiettivi e modalità operative

Void Blizzard è attivo almeno da aprile 2024 e mira soprattutto a organizzazioni strategiche per gli interessi governativi russi, tra cui enti governativi, difesa, trasporti, media, ONG e settore sanitario in Europa e Nord America. Gli attacchi sono stati indirizzati in particolare verso stati membri della NATO e l’Ucraina, con l’obiettivo di raccogliere intelligence su temi sensibili come forniture militari e supporto umanitario.

Tattiche di compromissione

La modalità di accesso iniziale predilige tattiche semplici ma efficaci, come il password spraying e l’utilizzo di credenziali rubate, spesso acquistate su marketplace underground. In molti casi, questi account compromessi permettono agli hacker di accedere ai servizi cloud di Exchange e SharePoint Online, esfiltrando grandi quantità di email e file riservati.

Phishing mirato e tecniche recenti

Una delle tecniche più recenti osservate vede Void Blizzard inviare email di spear-phishing che si spacciano per comunicazioni ufficiali di eventi europei sulla difesa. Queste email includono allegati PDF con inviti falsi e, soprattutto, un QR code malevolo che reindirizza la vittima su un dominio fasullo (ad esempio micsrosoftonline[.]com) che replica la pagina di login di Microsoft Entra. Qui la vittima inserisce inconsapevolmente le proprie credenziali, che vengono intercettate grazie a Evilginx.

Espansione dell’attacco e strumenti utilizzati

Dopo il furto delle credenziali, gli hacker sfruttano strumenti come AzureHound per mappare la struttura cloud dell’organizzazione, accedendo a dati su utenti, ruoli, dispositivi e applicazioni. L’attività malevola prosegue con l’automatizzazione della raccolta dati, coinvolgendo anche conversazioni di Microsoft Teams e altri servizi cloud.

Attacchi rilevati e raccomandazioni

Secondo le autorità olandesi, Void Blizzard sarebbe anche responsabile di un attacco contro il sistema di polizia dei Paesi Bassi, utilizzando la tecnica pass-the-cookie per accedere agli account senza bisogno della password.

Questa ondata di attacchi evidenzia la necessità per le organizzazioni di rafforzare le proprie difese contro il phishing avanzato e di monitorare attivamente eventuali accessi sospetti alle infrastrutture cloud.