O grupo de hackers APT28 da Rússia (também conhecido como 'Strontium' ou 'Fancy Bear') tem como alvo entidades governamentais, empresas, universidades, institutos de pesquisa e think tanks na França desde o segundo semestre de 2021.
O grupo de ameaças, que é considerado parte do serviço de inteligência militar da Rússia GRU, foi recentemente ligado à exploração de
CVE-2023-38831
, uma vulnerabilidade de execução de código remoto no WinRAR, e
CVE-2023-23397
, um zero-day apresentando falha na elevação de privilégios no Microsoft Outlook.
Os hackers russos têm comprometido dispositivos periféricos em redes críticas de organizações francesas e se afastando do uso de backdoors para evitar a detecção.
Isto é de acordo com um relatório recentemente publicado pelo ANSSI (Agence Nationale de la sécurité des systèmes d'information), a Agência Nacional Francesa de Segurança dos Sistemas de Informação, que conduziu investigações sobre as atividades do grupo de ciberespionagem.
O ANSSI mapeou as Táticas, Técnicas e Procedimentos (TTPs) do APT28, relatando que o grupo de ameaças usa força bruta e bancos de dados vazados contendo credenciais para violar contas e roteadores Ubiquiti em redes direcionadas.
Em um caso de abril de 2023, os invasores realizaram uma campanha de phishing que enganou os destinatários e os fez executar o PowerShell, expondo suas configurações de sistema, processos em execução e outros detalhes do sistema operacional.
Entre março de 2022 e junho de 2023, o APT28 enviou e-mails para usuários do Outlook que exploravam a vulnerabilidade zero-day, agora rastreada como
CVE-2023-23397
, começando a exploração um mês antes do que foi recentemente relatado.
Durante este período, os invasores também exploraram o
CVE-2022-30190
(também conhecido como "Follina") na Ferramenta de Diagnóstico de Suporte do Windows da Microsoft e o
CVE-2020-12641
,
CVE-2020-35730
,
CVE-2021-44026
no aplicativo Roundcube.
As ferramentas usadas nas primeiras etapas dos ataques incluem o extrator de senhas Mimikatz e a ferramenta de retransmissão de tráfego reGeorg, bem como os serviços de código aberto Mockbin e Mocky.
O ANSSI também relata que o APT28 usa uma variedade de clientes VPN, incluindo SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN e VPNSecure.
Como um grupo de ciberespionagem, o acesso e a exfiltração de dados estão no cerne dos objetivos operacionais do Strontium.
A ANSSI observou os atores de ameaças recuperando informações de autenticação usando utilitários nativos e roubando e-mails contendo informações sensíveis e correspondências.
Especificamente, os invasores exploram o
CVE-2023-23397
para desencadear uma conexão SMB a partir das contas direcionadas para um serviço sob seu controle, permitindo a recuperação do hash de autenticação NetNTLMv2, que pode ser usado em outros serviços também.
A infraestrutura do servidor de comando e controle (C2) do APT28 depende de serviços de nuvem legítimos, como Microsoft OneDrive e Google Drive, para tornar a troca menos provável de acionar quaisquer alarmes por ferramentas de monitoramento de tráfego.
Por fim, a ANSSI viu evidências de que os invasores coletam dados usando o implante CredoMap, que busca informações armazenadas no navegador da vítima, como cookies de autenticação.
Os serviços Mockbin e Pipedream também estão envolvidos no processo de exfiltração de dados.
A ANSSI enfatiza uma abordagem abrangente para a segurança, que inclui a avaliação de riscos. No caso da ameaça APT28, o foco na segurança do e-mail é crucial.
As principais recomendações da agência em torno da segurança do e-mail incluem:
Garantir a segurança e a confidencialidade das trocas de e-mail.
Use plataformas de troca seguras para evitar desvios ou sequestros de e-mails.
Minimize a superfície de ataque das interfaces de webmail e reduza os riscos de servidores como Microsoft Exchange.
Implemente capacidades para detectar e-mails maliciosos.
Para mais detalhes sobre as descobertas do ANSSI e dicas de defesa, confira o relatório completo.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...