A França diz que hackers do estado russo violaram várias redes críticas.
27 de Outubro de 2023

O grupo de hackers APT28 da Rússia (também conhecido como 'Strontium' ou 'Fancy Bear') tem como alvo entidades governamentais, empresas, universidades, institutos de pesquisa e think tanks na França desde o segundo semestre de 2021.

O grupo de ameaças, que é considerado parte do serviço de inteligência militar da Rússia GRU, foi recentemente ligado à exploração de CVE-2023-38831 , uma vulnerabilidade de execução de código remoto no WinRAR, e CVE-2023-23397 , um zero-day apresentando falha na elevação de privilégios no Microsoft Outlook.

Os hackers russos têm comprometido dispositivos periféricos em redes críticas de organizações francesas e se afastando do uso de backdoors para evitar a detecção.

Isto é de acordo com um relatório recentemente publicado pelo ANSSI (Agence Nationale de la sécurité des systèmes d'information), a Agência Nacional Francesa de Segurança dos Sistemas de Informação, que conduziu investigações sobre as atividades do grupo de ciberespionagem.

O ANSSI mapeou as Táticas, Técnicas e Procedimentos (TTPs) do APT28, relatando que o grupo de ameaças usa força bruta e bancos de dados vazados contendo credenciais para violar contas e roteadores Ubiquiti em redes direcionadas.

Em um caso de abril de 2023, os invasores realizaram uma campanha de phishing que enganou os destinatários e os fez executar o PowerShell, expondo suas configurações de sistema, processos em execução e outros detalhes do sistema operacional.

Entre março de 2022 e junho de 2023, o APT28 enviou e-mails para usuários do Outlook que exploravam a vulnerabilidade zero-day, agora rastreada como CVE-2023-23397 , começando a exploração um mês antes do que foi recentemente relatado.

Durante este período, os invasores também exploraram o CVE-2022-30190 (também conhecido como "Follina") na Ferramenta de Diagnóstico de Suporte do Windows da Microsoft e o CVE-2020-12641 , CVE-2020-35730 , CVE-2021-44026 no aplicativo Roundcube.

As ferramentas usadas nas primeiras etapas dos ataques incluem o extrator de senhas Mimikatz e a ferramenta de retransmissão de tráfego reGeorg, bem como os serviços de código aberto Mockbin e Mocky.

O ANSSI também relata que o APT28 usa uma variedade de clientes VPN, incluindo SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN e VPNSecure.

Como um grupo de ciberespionagem, o acesso e a exfiltração de dados estão no cerne dos objetivos operacionais do Strontium.

A ANSSI observou os atores de ameaças recuperando informações de autenticação usando utilitários nativos e roubando e-mails contendo informações sensíveis e correspondências.

Especificamente, os invasores exploram o CVE-2023-23397 para desencadear uma conexão SMB a partir das contas direcionadas para um serviço sob seu controle, permitindo a recuperação do hash de autenticação NetNTLMv2, que pode ser usado em outros serviços também.

A infraestrutura do servidor de comando e controle (C2) do APT28 depende de serviços de nuvem legítimos, como Microsoft OneDrive e Google Drive, para tornar a troca menos provável de acionar quaisquer alarmes por ferramentas de monitoramento de tráfego.

Por fim, a ANSSI viu evidências de que os invasores coletam dados usando o implante CredoMap, que busca informações armazenadas no navegador da vítima, como cookies de autenticação.

Os serviços Mockbin e Pipedream também estão envolvidos no processo de exfiltração de dados.

A ANSSI enfatiza uma abordagem abrangente para a segurança, que inclui a avaliação de riscos. No caso da ameaça APT28, o foco na segurança do e-mail é crucial.

As principais recomendações da agência em torno da segurança do e-mail incluem:

Garantir a segurança e a confidencialidade das trocas de e-mail.

Use plataformas de troca seguras para evitar desvios ou sequestros de e-mails.

Minimize a superfície de ataque das interfaces de webmail e reduza os riscos de servidores como Microsoft Exchange.

Implemente capacidades para detectar e-mails maliciosos.

Para mais detalhes sobre as descobertas do ANSSI e dicas de defesa, confira o relatório completo.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...