От втората половина на 2021 г. руската хакерска група APT28 (известна още като „Strontium“ или „Fancy Bear“) се насочва към правителствени структури, предприятия, университети, изследователски институти и мозъчни тръстове във Франция.
Групата за заплахи, която се счита за част от руското военно разузнаване GRU, наскоро беше свързана с експлоатирането на CVE-2023-38831, уязвимост за отдалечено изпълнение на код в WinRAR, и CVE-2023-23397, недостатък от нулев ден за повишаване на привилегиите в Microsoft Outlook.
Руските хакери компрометират периферни устройства в критични мрежи на френски организации и се отдалечават от използването на задни врати, за да избегнат откриване.
Това се казва в наскоро публикуван доклад на ANSSI (Agence Nationale de la sécurité des systèmes d’information), Френската национална агенция за сигурност на информационните системи, която е провела разследване на дейността на групата за кибершпионаж.
ANSSI е направила карта на TTPs (техники, тактики и процедури) на APT28, като е съобщила, че групата за заплахи използва груба сила и изтекли бази данни, съдържащи пълномощни, за да пробие акаунти и рутерри Ubiquiti в целеви мрежи.
В един случай от април 2023 г. нападателите са провели фишинг кампания, която е подмамила получателите да стартират PowerShell, който разкрива системната им конфигурация, изпълняваните процеси и други подробности за операционната система.
Между март 2022 г. и юни 2023 г. APT28 е изпратила имейли на потребители на Outlook, които са експлоатирали тогавашната уязвимост от нулев ден, сега проследявана като CVE-2023-23397, което поставя първоначалната експлоатация един месец по-рано от това, което беше съобщено наскоро.
През този период нападателите са експлоатирали и CVE-2022-30190 (известна още като „Follina“) в Microsoft Windows Support Diagnostic Tool и CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 в приложението Roundcube.
Инструментите, използвани в първите етапи на атаките, включват инструмента за извличане на пароли Mimikatz и инструмента за препредаване на трафик reGeorg, както и услугите с отворен код Mockbin и Mocky.
ANSSI съобщава също, че APT28 използва редица VPN клиенти, включително SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN и VPNSecure.
Адреси, от които се разпространяват имейли с експлоатиране на CVE-2023-23397 (ANSSI)
Като група за кибершпионаж достъпът до данни и ексфилтрацията са в основата на оперативните цели на Strontium.
ANSSI е наблюдавала, че хакерите от групата извличат информация за удостоверяване на автентичност с помощта на местни помощни програми и крадат имейли, съдържащи чувствителна информация и кореспонденция.
По-конкретно нападателите използват CVE-2023-23397, за да задействат SMB връзка от целевите акаунти към услуга под техен контрол, което позволява извличането на хеша за удостоверяване NetNTLMv2, който може да се използва и в други услуги.
Инфраструктурата на сървъра за командване и контрол (C2) на APT28 разчита на легитимни облачни услуги, като например Microsoft OneDrive и Google Drive, за да може обменът да предизвика по-малка вероятност за алармиране от страна на инструментите за наблюдение на трафика.
И накрая, ANSSI е видяла доказателства, че нападателите събират данни с помощта на импланта CredoMap, който е насочен към информация, съхранявана в уеб браузъра на жертвата, като например бисквитки за удостоверяване.
Mockbin и услугата Pipedream също участват в процеса на ексфилтрация на данни.
Верига атаки на APT28 (ANSSI)
ANSSI набляга на всеобхватния подход към сигурността, който включва оценка на рисковете. В случая със заплахата APT28 съсредоточаването върху сигурността на електронната поща е от решаващо значение.
Основните препоръки на агенцията относно сигурността на електронната поща включват:
За повече подробности относно констатациите на ANSSI и съветите за защита разгледайте пълния доклад тук.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
