Az orosz APT28 hackercsoport (más néven ‘Strontium’ vagy ‘Fancy Bear’) 2021 második felétől kezdve kormányzati szervezeteket, vállalatokat, egyetemeket, kutatóintézeteket és kutatóközpontokat támad Franciaországban.
A csoportot nemrég összefüggésbe hozták a CVE-2023-38831 kihasználásával, amely egy távoli kódvégrehajtási sebezhetőség a WinRAR alkalmazásban, valamint a CVE-2023-23397-tel, ami a Microsoft Outlook zero-day jogosultságemelési hibája. Mindezt, az ANSSI (Agence Nationale de la sécurité des systèmes d’information), a francia Nemzeti Információs Rendszerbiztonsági Ügynökség egy frissen közzétett jelentés alapján állítja, amelyben kutatást végeztek a kiberkémkedő csoport tevékenységéről.
Az ANSSI feltérképezte az APT28 TTP-ket (technikákat, taktikákat és eljárásokat), és beszámolt arról, hogy a csoport bruteforce támadásokat és kiszivárogtatott adatbázisokban tárolt hitelesítő adatokat használ fel fiókok és Ubiquiti routerek feltöréséhez.
- 2023 áprilisában a támadók egy phishing kampány során rávették az áldozatokat, hogy futtassanak egy káros PowerShellt, így feltárva a rendszerkonfigurációjukat, a futó folyamatokat és az operációs rendszer egyéb részleteit.
- 2022 márciusa és 2023 júniusa között az APT28 e-maileket küldött Outlook felhasználóknak, amelyek kihasználták a fent említett zero-day sebezhetőséget (CVE-2023-23397). A támadók arra használják a CVE-2023-23397-et, hogy indítsanak egy SMB kapcsolatot a célpont fiókokból az ő felügyeletük alatt álló szolgáltatáshoz, lehetővé téve a NetNTLMv2 hitelesítési hash lekérését, amelyet más szolgáltatásokhoz is fel lehet használni.
- Ebben az időszakban a támadók kihasználták a Microsoft Windows Support Diagnostic Tool hibáját (CVE-2022-30190), valamint a Roundcube alkalmazást érintő a sebezhetőségeket (CVE-2020-12641, CVE-2020-35730 és CVE-2021-44026).
- Az első támadások kezdeti szakaszában a Mimikatz jelszókinyerő és a reGeorg forgalomátirányító eszköz mellett a Mockbin és a Mocky nyílt forráskódú szolgáltatások is szerepet játszanak.
Az ANSSI szerint az APT28 többféle VPN klienst használ, beleértve a SurfShark, az ExpressVPN, a ProtonVPN, a PureVPN, a NordVPN, a CactusVPN, a WorldVPN és a VPNSecure-t is, illetve hitelesítési információkat nyernek ki natív segédprogramok használatával és érzékeny információt és levelezéseket tartalmazó e-maileket lopnak.
Az APT28 parancs- és ellenőrzőszervere (C2) infrastruktúrája Microsoft OneDrive és a Google Drive felhőszolgáltatásokra támaszkodik, hogy a forgalomfigyelő eszközök által kisebb valószínűséggel keltsenek riasztást.
Az ANSSI talált bizonyítékot arra is, hogy a támadók adatokat gyűjtenek a CredoMap implentációval, amely a célpont böngészőjében tárolt információkat célozza meg, például az azonosítási sütiket, ileltve a Mockbin és a Pipedream szolgáltatások is részt vesznek az adatkiszivárogtatási folyamatban.
Az ANSSI hangsúlyozza, hogy az APT28 fenyegetés kezeléséhez az e-mail biztonságra kiemelt figyelmet kell fordíteni. Az ügynökség ajánlásai az e-mailbiztonság terén:
- Biztosítani kell az e-mail üzenetek biztonságát és bizalmasságát.
- Használjon biztonságos exchange platformokat az e-mailek eltérítésének megakadályozása érdekében.
- Minimalizálja a webmail felületek támadási felületét, és csökkentse a Microsoft Exchange-hez hasonló kiszolgálókból eredő kockázatokat.
- A rosszindulatú e-mailek észlelésére szolgáló termékek bevezetése javasolt.
További részletek az ANSSI eredményeiről és védelmi tippjeiről itt taláhatóak.
