俄罗斯新型网络威胁洗衣熊袭击西方目标

可爱“洗衣熊”名称背后隐藏着一个从事军事间谍活动的复杂俄罗斯威胁组织，难以被发现。

Laundry Bear 钓鱼诱饵

荷兰情报官员和微软今天警告称，一个新的俄罗斯威胁行为者正在针对西方组织，这似乎是一场军事和高科技间谍活动。

这个新的威胁组织——荷兰方面称之为“洗衣熊”，微软方面称之为“虚空暴雪”——是今天单独发布的公告的主题。荷兰总情报与安全局 (AIVD) 和荷兰国防情报与安全局 (MIVD) 发布了一份联合公告 ，而微软则发布了一篇关于该组织的单独博客 。

该威胁组织通常使用被盗 cookie 和密码喷洒等攻击技术来针对微软电子邮件环境，然后从那里扩大其攻击范围，同时仍然难以检测。

军事和高科技间谍活动是洗衣熊的目标

在荷兰的咨询报告中，这些机构表示，Laundry Bear/Void Blizzard“已成功访问了全球大量政府机构、商业实体和其他组织（尤其关注欧盟和北约成员国）的敏感信息。”

荷兰的咨询报告称，该威胁组织主要针对基于云的电子邮件环境，特别是 Exchange 服务器，从事“大规模窃取电子邮件和与组织电子邮件联系人相关的其他信息，例如全局地址列表 (GAL)”。 在某些情况下，该组织还设法获取了文件，包括存储在云服务器上的数据 。

荷兰的咨询报告称，2024 年，Laundry Bear 攻击了国防承包商、航空航天公司和其他参与军事生产的高科技企业，其可能的目标是获取“与西方政府采购和生产军用物资以及西方国家向乌克兰运送武器相关的敏感信息”。 该组织似乎“对军用物资的生产和交付以及相应的依赖关系有一定的了解”。

咨询报告称，Laundry Bear 还攻击了“生产先进技术的企业，由于西方制裁，俄罗斯难以获得这些技术”。平民组织和企业也成为目标，通常是在 IT 和高 科技 领域，包括为企业客户和政府组织提供数字服务的提供商，以及一些关键领域。

荷兰咨询报告称：“与服务部门调查的其他一些俄罗斯威胁行为者相比，LAUNDRY BEAR 的成功率很高。”

Laundry Bear/Void Blizzard 攻击技术

荷兰报告详细介绍了攻击技术，例如传递 cookie 攻击（可能被 信息窃取 恶意软件窃取，并在犯罪市场上被 Laundry Bear 购买）和密码喷洒。

在获得帐户访问权限后，该组织“能够大规模窃取来自受感染系统的电子邮件。在某些情况下，荷兰服务机构已经确定 LAUNDRY BEAR 从受感染的 SharePoint 环境中窃取了数据，该组织利用已知的 漏洞 来收集登录凭据，以供后续操作使用。”

由于该组织将其行动限制在对 Microsoft 帐户的现有访问权限，而没有试图扩大其对底层网络或系统的访问权限，“它似乎相对容易且长期地逃避了网络和系统管理员的注意，”该咨询报告称。

荷兰咨询报告指出了 Laundry Bear 与 APT28 俄罗斯国家支持的威胁行为者之间的相似之处，但表示这两个组织“是两个不同的威胁行为者”。

微软详述非政府组织活动

微软详细介绍了 2025 年 4 月针对欧洲和美国 20 多个非政府组织 (NGO) 的中间人 (AitM) 鱼叉式网络钓鱼 攻击活动。该组织使用一个拼写错误的域名来欺骗 Microsoft Entra 身份验证门户，在电子邮件中附带一个 PDF 附件，该附件以虚假的欧洲国防与安全峰会邀请函诱骗目标。

“该附件包含一个恶意二维码，该二维码重定向到 Void Blizzard 基础设施 micsrosoftonline[.]com，该基础设施托管一个凭证 网络钓鱼 页面，该页面欺骗 Microsoft Entra 身份验证页面，”微软表示。“我们评估 Void Blizzard 正在使用开源攻击框架 Evilginx 来进行 AitM 网络钓鱼活动并窃取身份验证数据，包括输入的用户名和密码以及服务器生成的任何 cookie。”

微软还观察到该威胁行为者通过 Teams 网络客户端应用程序访问 Microsoft Teams 对话和消息。该威胁行为者还使用公开可用的 AzureHound 工具枚举了受损组织的 Microsoft Entra ID 配置，以获取有关租户用户、角色、组、应用程序和设备的信息。

防御 Laundry Bear/Void Blizzard

荷兰和微软的建议包含大量关于防御该威胁组织的指导，包括实施对风险登录的自动响应、多因素身份验证、使用单点登录的集中身份管理、零信任原则、Cookie 过期和重新绑定，以及审计和异常检测。