Hackers Russos APT28 miram organizações de alto valor com ataques NTLM Relay
5 de Fevereiro de 2024

Atores patrocinados pelo estado russo realizaram ataques de retransmissão de hash NT LAN Manager (NTLM) v2 por meio de vários métodos de abril de 2022 a novembro de 2023, visando alvos de alto valor em todo o mundo.

Os ataques, atribuídos a uma equipe de hackers "agressivos", chamada APT28, focaram organizações que lidam com assuntos estrangeiros, energia, defesa e transporte, bem como aquelas envolvidas com trabalho, assistência social, finanças, paternidade e conselhos da cidade local.

A empresa de segurança cibernética Trend Micro avaliou essas invasões como um "método econômico de automatizar tentativas de forçar brutalmente seu caminho nas redes" de seus alvos, notando que o adversário pode ter comprometido milhares de contas de email ao longo do tempo.

O APT28 também é monitorado pela comunidade de segurança cibernética em geral, sob os nomes Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422.

O grupo, que se acredita estar ativo desde pelo menos 2009, é operado pelo serviço de inteligência militar GRU da Rússia e tem um histórico de orquestração de campanhas de spear-phishing com anexos maliciosos ou comprometimentos estratégicos na web para ativar as cadeias de infecção.

Em abril de 2023, o APT28 foi implicado em ataques que exploravam falhas agora corrigidas em equipamentos de rede da Cisco para conduzir reconhecimento e implantar malware contra alvos selecionados.

O ator do estado-nação, em dezembro, chamou a atenção por explorar uma falha de escalonamento de privilégios no Microsoft Outlook ( CVE-2023-23397 , pontuação CVSS: 9.8) e um bug de execução de código no WinRAR ( CVE-2023-38831 , pontuação CVSS: 7.8) para acessar o hash Net-NTLMv2 de um usuário e usá-lo para montar um ataque de retransmissão NTLM para obter acesso não autorizado a caixas de correio pertencentes a empresas do setor público e privado.

Diz-se que um exploit para o CVE-2023-23397 foi usado para atacar entidades ucranianas já em abril de 2022, de acordo com um aviso do CERT-EU de março de 2023.

Também foi observado o aproveitamento de iscas relacionadas à guerra em curso entre Israel e Hamas para facilitar a entrega de um backdoor personalizado chamado HeadLace, juntamente com atingir entidades governamentais ucranianas e organizações polonesas com mensagens de phishing projetadas para implantar implantes sob medida e ladrões de informações como OCEANMAP, MASEPIE e STEELHOOK.

Um dos aspectos significativos dos ataques do ator ameaçador é a tentativa contínua de melhorar seu playbook operacional, ajustando e mexendo em suas abordagens para evitar a detecção.

Isso inclui a adição de camadas de anonimato, como serviços VPN, Tor, endereços IP de data center e roteadores EdgeOS comprometidos para realizar atividades de varredura e sondagem.

Outra tática envolve o envio de mensagens de spear-phishing de contas de e-mail comprometidas por Tor ou VPN.

"Pawn Storm também tem usado roteadores EdgeOS para enviar e-mails de spear-phishing, realizar callbacks de exploits do CVE-2023-23397 no Outlook e roubo de credenciais de proxy em sites de phishing de credenciais", disseram os pesquisadores de segurança Feike Hacquebord e Fernando Merces.

"Parte das atividades pós-exploração do grupo envolve a modificação das permissões de pasta na caixa de correio da vítima, levando a uma persistência aprimorada", disseram os pesquisadores.

"Usando as contas de e-mail da vítima, o movimento lateral é possível enviando mensagens de e-mail maliciosas adicionais de dentro da organização vítima."

Atualmente, não se sabe se o próprio ator da ameaça violou esses roteadores, ou se está usando roteadores que já foram comprometidos por um ator terceirizado.

Dito isso, estima-se que não menos de 100 roteadores EdgeOS tenham sido infectados.

Além disso, recentes campanhas de colheita de credenciais contra governos europeus têm usado páginas de login falsas imitando o Microsoft Outlook que são hospedadas em URLs do webhook[.]site, um padrão anteriormente atribuído ao grupo.

Como sinal de que o grupo não é estranho em mudar as táticas quando necessário, uma campanha de phishing de outubro de 2022 destacou embaixadas e outras entidades de alto perfil para entregar um ladrão de informações "simples" por meio de e-mails que capturaram arquivos com extensões específicas e os exfiltraram para um serviço grátis de compartilhamento de arquivos chamado Keep.sh.

"A estridência das campanhas repetitivas, muitas vezes brutas e agressivas, abafam o silêncio, a sutileza e a complexidade da intrusão inicial, bem como as ações pós-exploração que podem ocorrer assim que o Pawn Storm obtém um primeiro ponto de apoio nas organizações vítimas", disseram os pesquisadores.

O desenvolvimento ocorre quando o Recorded Future News revelou uma campanha de hacking em andamento realizada pelo ator de ameaça russo COLDRIVER (também conhecido como Calisto, Iron Frontier ou Star Blizzard) que se passa por pesquisadores e acadêmicos para redirecionar vítimas em potencial para páginas de colheita de credenciais.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...