Hackers russos invadem mais de 20 ONGs usando páginas falsas da Microsoft Entra e kit Evilginx

A Microsoft revelou um novo e sofisticado esquema de espionagem cibernética conduzido por um grupo hacker ligado à Rússia, conhecido como Void Blizzard (também chamado de Laundry Bear). Segundo relatório da equipe Microsoft Threat Intelligence, o grupo tem explorado serviços em nuvem de forma maliciosa desde, pelo menos, abril de 2024. As ações foram direcionadas principalmente a organizações estratégicas para os interesses do governo russo, incluindo entidades dos setores de governo, defesa, transporte, mídia, saúde e, especialmente, organizações não governamentais (ONGs) na Europa e América do Norte.

Esses hackers se aproveitam de credenciais roubadas, compradas em mercados clandestinos na internet, para obter acesso a sistemas corporativos. Após a invasão, eles realizam grandes extrações de e-mails e arquivos confidenciais. Muitos dos alvos fazem parte da OTAN ou estão envolvidos diretamente no apoio militar ou humanitário à Ucrânia, revelando um claro interesse do grupo em fortalecer os objetivos estratégicos da Rússia. Um dos casos documentados foi a violação de contas de uma organização de aviação ucraniana em outubro de 2024 — alvos já explorados em 2022 pelo grupo Seashell Blizzard, vinculado à inteligência militar russa (GRU).

Os ataques do Void Blizzard são classificados como oportunistas e massivos, com o uso de técnicas simples como password spraying e credenciais furtadas. Além disso, os hackers exploram ferramentas públicas como AzureHound para mapear estruturas internas de identidades e permissões dentro das organizações comprometidas.

Recentemente, o grupo intensificou suas ações com métodos mais diretos: envio de e-mails de spear-phishing que simulam convites para uma conferência europeia de segurança e defesa. Esses e-mails continham arquivos PDF com um código QR malicioso que redirecionava para um domínio fraudulento — “micsrosoftonline[.]com” — onde uma página falsa do Microsoft Entra era usada para roubar credenciais de acesso.

Mais de 20 ONGs na Europa e nos EUA foram alvo dessa campanha. Após obter acesso inicial, os invasores abusaram de serviços como Exchange Online e Microsoft Graph para explorar caixas de e-mail e arquivos em nuvem, além de utilizarem automação para coletar grandes volumes de dados. Em alguns casos, também foram acessadas conversas no Microsoft Teams.

A Microsoft destacou que muitas das organizações comprometidas também foram alvo de outros grupos hackers estatais russos, como Forest Blizzard, Midnight Blizzard e Secret Blizzard, sugerindo uma coordenação centralizada de interesses em espionagem por parte da Rússia.

Paralelamente, o Serviço de Inteligência e Segurança de Defesa da Holanda (MIVD) atribuiu ao Void Blizzard a invasão da conta de um funcionário da polícia holandesa em 23 de setembro de 2024. O ataque foi realizado com a técnica pass-the-cookie, em que cookies de autenticação roubados são usados para acessar sistemas sem necessidade de senha. A invasão expôs informações de contato profissionais de outros policiais, e o MIVD suspeita que outras organizações holandesas também tenham sido alvo.

Segundo o vice-almirante Peter Reesink, diretor da MIVD, o interesse do grupo Void Blizzard está centrado na obtenção de informações sobre compras e produção de equipamentos militares por governos ocidentais e o envio de armas à Ucrânia.

Via - THN