Francia kritikus rendszerek elleni orosz támadásokról közölt információt az ANSSI

Az orosz APT28 hackercsoport (más néven ‘Strontium’ vagy ‘Fancy Bear’) 2021 második felétől kezdve kormányzati szervezeteket, vállalatokat, egyetemeket, kutatóintézeteket és kutatóközpontokat támad Franciaországban.

A csoportot nemrég összefüggésbe hozták a CVE-2023-38831 kihasználásával, amely egy távoli kódvégrehajtási sebezhetőség a WinRAR alkalmazásban, valamint a CVE-2023-23397-tel, ami a Microsoft Outlook zero-day jogosultságemelési hibája. Mindezt, az ANSSI (Agence Nationale de la sécurité des systèmes d’information), a francia Nemzeti Információs Rendszerbiztonsági Ügynökség egy frissen közzétett jelentés alapján állítja, amelyben kutatást végeztek a kiberkémkedő csoport tevékenységéről.

Az ANSSI feltérképezte az APT28 TTP-ket (technikákat, taktikákat és eljárásokat), és beszámolt arról, hogy a csoport bruteforce támadásokat és kiszivárogtatott adatbázisokban tárolt hitelesítő adatokat használ fel fiókok és Ubiquiti routerek feltöréséhez.

  • 2023 áprilisában a támadók egy phishing kampány során rávették az áldozatokat, hogy futtassanak egy káros PowerShellt, így feltárva a rendszerkonfigurációjukat, a futó folyamatokat és az operációs rendszer egyéb részleteit.
  • 2022 márciusa és 2023 júniusa között az APT28 e-maileket küldött Outlook felhasználóknak, amelyek kihasználták a fent említett zero-day sebezhetőséget (CVE-2023-23397). A támadók arra használják a CVE-2023-23397-et, hogy indítsanak egy SMB kapcsolatot a célpont fiókokból az ő felügyeletük alatt álló szolgáltatáshoz, lehetővé téve a NetNTLMv2 hitelesítési hash lekérését, amelyet más szolgáltatásokhoz is fel lehet használni.
  • Ebben az időszakban a támadók kihasználták a Microsoft Windows Support Diagnostic Tool hibáját (CVE-2022-30190), valamint a Roundcube alkalmazást érintő a  sebezhetőségeket (CVE-2020-12641, CVE-2020-35730 és CVE-2021-44026).
  • Az első támadások kezdeti szakaszában a Mimikatz jelszókinyerő és a reGeorg forgalomátirányító eszköz mellett a Mockbin és a Mocky nyílt forráskódú szolgáltatások is szerepet játszanak.

Az ANSSI szerint az APT28 többféle VPN klienst használ, beleértve a SurfShark, az ExpressVPN, a ProtonVPN, a PureVPN, a NordVPN, a CactusVPN, a WorldVPN és a VPNSecure-t is, illetve hitelesítési információkat nyernek ki natív segédprogramok használatával és érzékeny információt és levelezéseket tartalmazó e-maileket lopnak.

Az APT28 parancs- és ellenőrzőszervere (C2) infrastruktúrája Microsoft OneDrive és a Google Drive felhőszolgáltatásokra támaszkodik, hogy a forgalomfigyelő eszközök által kisebb valószínűséggel keltsenek riasztást.

Az ANSSI talált bizonyítékot arra is, hogy a támadók adatokat gyűjtenek a CredoMap implentációval, amely a célpont böngészőjében tárolt információkat célozza meg, például az azonosítási sütiket, ileltve a Mockbin és a Pipedream szolgáltatások is részt vesznek az adatkiszivárogtatási folyamatban.

Az ANSSI hangsúlyozza, hogy az APT28 fenyegetés kezeléséhez az e-mail biztonságra kiemelt figyelmet kell fordíteni. Az ügynökség ajánlásai az e-mailbiztonság terén:

  1. Biztosítani kell az e-mail üzenetek biztonságát és bizalmasságát.
  2. Használjon biztonságos exchange platformokat az e-mailek eltérítésének megakadályozása érdekében.
  3. Minimalizálja a webmail felületek támadási felületét, és csökkentse a Microsoft Exchange-hez hasonló kiszolgálókból eredő kockázatokat.
  4. A rosszindulatú e-mailek észlelésére szolgáló termékek bevezetése javasolt.

További részletek az ANSSI eredményeiről és védelmi tippjeiről itt taláhatóak.

(bleepingcomputer.com)