微软警告：俄罗斯新型黑客组织发动间谍攻击，针对北约与乌克兰

2025年5月28日22:52:11评论4 views字数 1297阅读4分19秒阅读模式

微软披露俄罗斯APT组织“Void Blizzard”利用购买被盗凭证、中间人钓鱼（仿冒微软Entra页面+Evilginx框架）及云API滥用等手段，系统性窃取北约多国及乌克兰防务、航空、医疗等关键领域数据。

微软于周二发布新发现的俄罗斯黑客组织“Void Blizzard”的技术文档，警告该组织过去一年持续窃取欧洲与北美政府机构及国防承包商的电子邮件、文件乃至Teams聊天记录。

在与荷兰情报机构联合发布的最新报告中，微软威胁追踪团队指出，该克里姆林宫黑客团队高度依赖网络犯罪经济的低成本资源：从信息窃取市场购买被盗账号密码，用于密码喷射攻击。

微软表示，近几周观察到该组织转向更精准的“中间人鱼叉式钓鱼”战术——通过仿冒域名伪造微软Entra登录页面，并以恶意二维码邀请函伪装成虚假的欧洲防务峰会。

微软称：“我们评估Void Blizzard正在使用开源攻击框架Evilginx实施中间人钓鱼行动，窃取包括输入的用户名、密码及服务器生成的所有cookie在内的认证数据。”2017年公开的Evilginx是具备中间人攻击能力的广泛传播钓鱼工具包。

钓鱼邮件正文来源：www.microsoft.com

微软指出，尽管这些技术属于国家级网络间谍活动的常规手段，但受害者名单与俄罗斯其他网络间谍组织存在重叠。该俄罗斯黑客团队可能正在窃取可反馈至军事或外交决策的战略情报。

微软强调北约国家与乌克兰仍是主要攻击目标，并举例乌克兰某航空机构曾遭其他俄罗斯APT组织入侵，表明相关组织对空中交通与航天网络的重点关注。

根据微软描述，Void Blizzard的攻击流程简明直接：

微软威胁情报中心发现与Void Blizzard关联的“全球云服务滥用活动集群”，警告该组织对关键领域网络的高频攻击加剧北约成员国及乌克兰盟友的风险。

在初始入侵后，微软捕获黑客滥用Exchange Online和Microsoft Graph等合法云API枚举邮箱（含共享邮箱）与云端文件的行为。

微软解释称：“账户失陷后，攻击者可能自动化批量收集云端数据（主要是邮件与文件），以及受害者有权访问的其他用户邮箱与文件共享。”

在少量确认案例中，黑客通过Microsoft Teams网页客户端监视对话内容。攻击者有时使用公开工具AzureHound枚举受害组织的Microsoft Entra ID配置，获取租户内用户、角色、群组、应用程序及设备信息。

微软透露，自2024年年中以来，已追踪到针对电信、国防供应商、数字服务商、医疗及IT行业的成功入侵案例。

转载请注明出处@安全威胁纵横，封面由chatgpt生成；

消息来源：https://www.securityweek.com/russian-government-hackers-caught-buying-passwords-from-cybercriminals/

更多网络安全视频，请关注视频号“知道创宇404实验室”

原文始发于微信公众号（安全威胁纵横）：微软警告：俄罗斯新型黑客组织发动间谍攻击，针对北约与乌克兰

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

俄罗斯新型网络威胁洗衣熊袭击西方目标