Търсене
Close this search box.

Франция: Русия е пробила множество критични мрежи

От втората половина на 2021 г. руската хакерска група APT28 (известна още като „Strontium“ или „Fancy Bear“) се насочва към правителствени структури, предприятия, университети, изследователски институти и мозъчни тръстове във Франция.

Групата за заплахи, която се счита за част от руското военно разузнаване GRU, наскоро беше свързана с експлоатирането на CVE-2023-38831, уязвимост за отдалечено изпълнение на код в WinRAR, и CVE-2023-23397, недостатък от нулев ден за повишаване на привилегиите в Microsoft Outlook.

Руските хакери компрометират периферни устройства в критични мрежи на френски организации и се отдалечават от използването на задни врати, за да избегнат откриване.

Това се казва в наскоро публикуван доклад на ANSSI (Agence Nationale de la sécurité des systèmes d’information), Френската национална агенция за сигурност на информационните системи, която е провела разследване на дейността на групата за кибершпионаж.

Разузнаване на мрежата и първоначален достъп

ANSSI е направила карта на TTPs (техники, тактики и процедури) на APT28, като е съобщила, че групата за заплахи използва груба сила и изтекли бази данни, съдържащи пълномощни, за да пробие акаунти и рутерри Ubiquiti в целеви мрежи.

В един случай от април 2023 г. нападателите са провели фишинг кампания, която е подмамила получателите да стартират PowerShell, който разкрива системната им конфигурация, изпълняваните процеси и други подробности за операционната система.

Между март 2022 г. и юни 2023 г. APT28 е изпратила имейли на потребители на Outlook, които са експлоатирали тогавашната уязвимост от нулев ден, сега проследявана като CVE-2023-23397, което поставя първоначалната експлоатация един месец по-рано от това, което беше съобщено наскоро.

През този период нападателите са експлоатирали и CVE-2022-30190 (известна още като „Follina“) в Microsoft Windows Support Diagnostic Tool и CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 в приложението Roundcube.

Инструментите, използвани в първите етапи на атаките, включват инструмента за извличане на пароли Mimikatz и инструмента за препредаване на трафик reGeorg, както и услугите с отворен код Mockbin и Mocky.

ANSSI съобщава също, че APT28 използва редица VPN клиенти, включително SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN и VPNSecure.

Addresses that disseminated emails exploiting CVE-2023-23397

Адреси, от които се разпространяват имейли с експлоатиране на CVE-2023-23397 (ANSSI)

Достъп до данни и ексфилтрация

Като група за кибершпионаж достъпът до данни и ексфилтрацията са в основата на оперативните цели на Strontium.

ANSSI е наблюдавала, че хакерите от групата извличат информация за удостоверяване на автентичност с помощта на местни помощни програми и крадат имейли, съдържащи чувствителна информация и кореспонденция.

По-конкретно нападателите използват CVE-2023-23397, за да задействат SMB връзка от целевите акаунти към услуга под техен контрол, което позволява извличането на хеша за удостоверяване NetNTLMv2, който може да се използва и в други услуги.

Инфраструктурата на сървъра за командване и контрол (C2) на APT28 разчита на легитимни облачни услуги, като например Microsoft OneDrive и Google Drive, за да може обменът да предизвика по-малка вероятност за алармиране от страна на инструментите за наблюдение на трафика.

И накрая, ANSSI е видяла доказателства, че нападателите събират данни с помощта на импланта CredoMap, който е насочен към информация, съхранявана в уеб браузъра на жертвата, като например бисквитки за удостоверяване.

Mockbin и услугата Pipedream също участват в процеса на ексфилтрация на данни.

APT28 attack chain

Верига атаки на APT28 (ANSSI)

Препоръки в областта на защитата

ANSSI набляга на всеобхватния подход към сигурността, който включва оценка на рисковете. В случая със заплахата APT28 съсредоточаването върху сигурността на електронната поща е от решаващо значение.

Основните препоръки на агенцията относно сигурността на електронната поща включват:

  • Осигуряване на сигурността и поверителността на обмена на имейли.
  • Използвайте сигурни платформи за обмен, за да предотвратите пренасочването или отвличането на имейли.
  • Намалете до минимум повърхността на атака на уебмейл интерфейсите и намалете рисковете от сървъри като Microsoft Exchange.
  • Внедрете възможности за откриване на злонамерени имейли.

За повече подробности относно констатациите на ANSSI и съветите за защита разгледайте пълния доклад тук.

Източник: По материали от Интернет

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
17 април 2024

Пробивът на паролите в Sisense предизвиква "зло...

Експертите се опасяват, че компрометирането на Sisense, който разпо...
16 април 2024

UnitedHealth Group отчете 872 млн. щатски долар...

UnitedHealth Group отчете 872 млн. щатски долара въздействие върху ...
Бъдете социални
Още по темата
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!