俄罗斯政府黑客被指从犯罪分子手中购买密码

微软与荷兰情报机构联合发布报告提到，俄罗斯黑客组织严重依赖于网络犯罪经济中的低成本端：它们从信息盗取市场购买被盗的用户名和密码，用于密码喷射攻击中。

微软表示，近几周来发现该组织采用了一种更显性的“中间敌对鱼叉式钓鱼攻击”，通过被域名误植影响的域名和一个虚假欧洲国防峰会的恶意QR图码邀请来模仿微软 Entra 登录页面。

微软表示，“我们认为 Void Blizzard 正在通过开源的攻击框架 Evilginx 开展 AitM 钓鱼攻击并窃取认证数据，包括输入用户名和密码以及服务器生成的任何 cookie。”Evilginx 在2017年公开发布，是具有中间敌对能力的钓鱼包。

微软提到，虽然这些技术对于政府级别的网络间谍活动而言是标配，但目标域其它俄罗斯相关网络间谍的一个受害者清单存在重叠之处。微软表示这些俄罗斯黑客很可能在盗取可用于军事或外交规划中的战时情报。

微软表示，北约成员国和乌克兰仍然是主要的受影响区域，并提到一家乌克兰航空机构被俄罗斯其它APT组织入侵，表明它们针对的是空中交通和航空网络。微软提到，Void Blizzard 手册非常直接：窃取凭据，登录到 Exchange 或 SharePoint Online，并自动化下载受陷用户可看到的任何内容。

微软表示其威胁情报中心发现了与 Void Blizzard 相关联的“全球范围内大量云滥用活动”，并提醒称该威胁人员对关键行业网络的攻击活动为北约成员国和乌克兰盟友带来严重风险。

微软发现，黑客获得初始访问权限后，滥用合法的云API如 Exchange Online 和 Microsoft Graph 枚举邮箱，包括任何共享邮箱和云托管文件。微软解释称，“一旦账号被成功攻陷，恶意人员很可能会自动化批量收集托管在云上的数据（主要是邮件和文件）和受陷用户可访问的任何邮箱或文件共享，如给予其它用户读取权限的邮箱和文件夹。”

在数量有限的已证实攻陷事件中，微软表示黑客通过 Teams web 客户端应用监控 Teams 会话和消息。该文档提到，“在一些情况下，该威胁人员会通过公开可用的 AzureHound 工具枚举已受陷组织机构的 Microsoft Entra ID 配置，获取关于用户、角色、组别、应用和租户设备的信息。”

微软表示，自2024年年中开始，已经追踪了针对电信、国防供应商、数字化服务提供商、医疗和IT的“成功攻陷”事件。