Η ρωσική ομάδα χάκερ APT28 (γνωστή και ως «Strontium» ή «Fancy Bear») στοχεύει κυβερνητικές οντότητες, επιχειρήσεις, πανεπιστήμια, ερευνητικά ιδρύματα και δεξαμενές σκέψης στη Γαλλία από το δεύτερο εξάμηνο του 2021.
Η ομάδα απειλών, η οποία θεωρείται μέρος της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών GRU, συνδέθηκε πρόσφατα με την εκμετάλλευση του CVE-2023-38831, μιας ευπάθειας απομακρυσμένης εκτέλεσης κώδικα στο WinRAR και του CVE-2023-23397, ενός ελλείμματος ανύψωσης προνομίων μηδενικής ημέρας στο Microsoft Outlook.
Οι Ρώσοι χάκερ έχουν υπονομεύσει περιφερειακές συσκευές σε κρίσιμα δίκτυα γαλλικών οργανισμών και απομακρύνονται από τη χρήση κερκόπορτων για να αποφύγουν τον εντοπισμό.
Αυτό σύμφωνα με μια πρόσφατα δημοσιευμένη έκθεση από
ANSSI
(Agence Nationale de la sécurité des systèmes d’information), η γαλλική Εθνική Υπηρεσία για την
Ασφάλεια
των Πληροφοριακών Συστημάτων, που διεξήγαγε έρευνες για τις δραστηριότητες της ομάδας κυβερνοκατασκοπείας.
Αναγνώριση δικτύου και αρχική πρόσβαση
Το ANSSI έχει χαρτογραφήσει τα TTP (τεχνικές, τακτικές και διαδικασίες) του APT28, αναφέροντας ότι η ομάδα απειλών χρησιμοποιεί βάσεις δεδομένων που έχουν διαρρεύσει και περιέχουν διαπιστευτήρια για την παραβίαση λογαριασμών και δρομολογητών Ubiquiti σε στοχευμένα δίκτυα.
Σε μια περίπτωση από τον Απρίλιο του 2023, οι εισβολείς έτρεξαν μια καμπάνια phishing που εξαπάτησε τους παραλήπτες να τρέξουν το PowerShell που αποκάλυψε τη διαμόρφωση του συστήματός τους, τις διεργασίες που εκτελούνται και άλλες λεπτομέρειες του λειτουργικού συστήματος.
Μεταξύ Μαρτίου 2022 και Ιουνίου 2023, το APT28 έστειλε μηνύματα ηλεκτρονικού ταχυδρομείου σε χρήστες του Outlook που εκμεταλλεύονταν την τότε ευπάθεια zero-day που τώρα παρακολουθείται ως CVE-2023-23397, τοποθετώντας την αρχική εκμετάλλευση έναν μήνα νωρίτερα από ό,τι αναφέρθηκε πρόσφατα.
Κατά τη διάρκεια αυτής της περιόδου, οι εισβολείς εκμεταλλεύτηκαν επίσης το CVE-2022-30190 (γνωστό και ως “Follina”) στο Διαγνωστικό
Εργα
λείο υποστήριξης των Microsoft Windows και τα CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 στην εφαρμογή Roundcube.
Τα εργαλεία που χρησιμοποιήθηκαν στα πρώτα στάδια των επιθέσεων περιλαμβάνουν τον εξαγωγέα κωδικού πρόσβασης Mimikatz και το εργαλείο αναμετάδοσης κίνησης reGeorg, καθώς και τις υπηρεσίες ανοιχτού κώδικα Mockbin και Mocky.
Η ANSSI αναφέρει επίσης ότι το APT28 χρησιμοποιεί μια σειρά πελατών VPN, συμπεριλαμβανομένων των SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN και VPNSecure.
Διευθύνσεις που διέδωσαν μηνύματα ηλεκτρονικού ταχυδρομείου που εκμεταλλεύονται το CVE-2023-23397
(ANSSI)
Πρόσβαση και εξαγωγή δεδομένων
Ως ομάδα κυβερνοκατασκοπείας, η πρόσβαση σε δεδομένα και η διείσδυση βρίσκονται στον πυρήνα των επιχειρησιακών στόχων της Strontium.
Η ANSSI παρατήρησε τους παράγοντες απειλών να ανακτούν πληροφορίες ελέγχου ταυτότητας χρησιμοποιώντας εγγενή βοηθητικά προγράμματα και να κλέβουν μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν ευαίσθητες πληροφορίες και αλληλογραφία.
Συγκεκριμένα, οι εισβολείς εκμεταλλεύονται το CVE-2023-23397 για να ενεργοποιήσουν μια σύνδεση SMB από τους στοχευμένους λογαριασμούς σε μια υπηρεσία υπό τον έλεγχό τους, επιτρέποντας την ανάκτηση του κατακερματισμού ελέγχου ταυτότητας NetNTLMv2, το οποίο μπορεί να χρησιμοποιηθεί και σε άλλες υπηρεσίες.
Η υποδομή διακομιστή εντολών και ελέγχου (C2) του APT28 βασίζεται σε νόμιμες υπηρεσίες
cloud
, όπως το Microsoft OneDrive και το Google Drive, για να καταστήσει το κέντρο λιγότερο πιθανό να προκαλέσει συναγερμούς από τα εργαλεία παρακολούθησης της κυκλοφορίας.
Τέλος, η ANSSI έχει δει στοιχεία ότι οι εισβολείς συλλέγουν δεδομένα χρησιμοποιώντας το εμφύτευμα CredoMap, το οποίο στοχεύει πληροφορίες που είναι αποθηκευμένες στο πρόγραμμα περιήγησης ιστού του θύματος, όπως cookies ελέγχου ταυτότητας.
Το Mockbin και η υπηρεσία Pipedream εμπλέκονται επίσης στη διαδικασία εξαγωγής δεδομένων.
Αλυσίδα επίθεσης APT28
(ANSSI)
Αμυντικές συστάσεις
Η ANSSI δίνει έμφαση σε μια ολοκληρωμένη προσέγγιση για την ασφάλεια, η οποία συνεπάγεται την αξιολόγηση των κινδύνων. Στην περίπτωση της απειλής APT28, η εστίαση στην ασφάλεια του email είναι ζωτικής σημασίας.
Οι βασικές συστάσεις του οργανισμού σχετικά με την ασφάλεια του email περιλαμβάνουν:
- Διασφαλίστε την ασφάλεια και το απόρρητο των ανταλλαγών email.
- Χρησιμοποιήστε ασφαλείς πλατφόρμες ανταλλαγής για να αποτρέψετε εκτροπές ή παραβιάσεις email.
-
Ελαχιστοποιήστε την επιφάνεια επίθεσης των δι
επα
φών webmail και μειώστε τους κινδύνους από διακομιστές όπως το Microsoft Exchange. - Εφαρμογή δυνατοτήτων εντοπισμού κακόβουλων email.
Για περισσότερες λεπτομέρειες σχετικά με τα ευρήματα της ANSSI και τις αμυντικές συμβουλές, ανατρέξτε στο
πλήρης αναφορά εδώ
.
VIA:
bleepingcomputer.com