Russische Hackergruppe APT28 nutzt NTLM-Sicherheitslücke aus, um weltweit hochrangige Ziele anzugreifen

Die russischen APT28-Hacker starteten einen Cyberangriff auf die NTLMv2-Hash-Relay-Attacke und zielten auf hochwertige Sektoren wie Diplomatie, Energie, Verteidigung und Verkehr auf der ganzen Welt. Sie nutzten Schwachstellen in Software wie Cisco-Netzwerkausrüstung, Microsoft Outlook und WinRAR aus, um Zugang und Daten zu erhalten.

skizziert.

GeorgienAPT28Hacker (Informatik) (Lehnwort)Das Team hat von April 2022 bis November 2023 über die Hash-Relay-Angriffsmethode NT LAN Manager (NTLM) v2 Cyberangriffe auf hochrangige Ziele in aller Welt durchgeführt.

Angriffsziel

Die APT28 richtet sich an Organisationen in den Bereichen Außenpolitik, Energie, Verteidigung und Verkehr sowie an Einrichtungen in den Bereichen Arbeit, Soziales, Finanzen, Kinderbetreuung und Kommunalverwaltungen.

Art des Angriffs (Physik)

  • Trend Micro Security hat diese Angriffe analysiert und ist zu dem Schluss gekommen, dass APT28 versucht hat, mit automatisierten Mitteln in das Netzwerk einzudringen und möglicherweise Tausende von E-Mail-Konten kompromittiert hat.
  • APT28 wurde auch unter mehreren anderen Aliasnamen von derNetzwerksicherheitder Gemeinschaft bekannt, darunter Blue Athena, BlueDelta, Fancy Bear und andere.
  • Das Hacking-Team ist seit 2009 aktiv und wird vom russischen Militärgeheimdienst GRU geleitet.

Fallstudien zu Angriffen

  • Im April 2023 nutzte APT28 Schwachstellen in Cisco-Netzwerkgeräten zur Aufklärung und Verbreitung von Malware aus.
  • Das Team nutzte eine Sicherheitslücke bei der Erhöhung der Berechtigungen in Microsoft Outlook (CVE-2023-23397) und WinRAR Codeausführungsschwachstellen (CVE-2023-38831), um NTLM-Relay-Angriffe durchzuführen.
  • APT28 hat auch Täuschungsmanöver im Zusammenhang mit dem Konflikt zwischen Israel und Hamas eingesetzt, um ein Backdoor-Programm namens HeadLace zu verbreiten, und hat Organisationen in der Ukraine und in Polen ins Visier genommen, umPhishing-Angriff (Computertechnik).

Angriffsmerkmale

APT28 verbessert ständig seine Angriffstechniken und sein Arsenal und passt seine Taktiken an, um eine Entdeckung zu umgehen.

Russische Hackergruppe APT28 nutzt NTLM-Sicherheitslücke aus, um weltweit hochrangige Ziele anzugreifen

NTLM-Relay-Angriffstechnik

  • APT28 nutzt VPNs, Tor, IP-Adressen von Rechenzentren und kompromittierte EdgeOS-Router als Anonymisierungswerkzeuge für Scanning und Reconnaissance.
  • Die Organisation versendet Phishing-E-Mails über Tor oder VPN und nutzt dabei bekannte Schwachstellen und Phishing-Seiten aus, um Anmeldedaten zu stehlen.

Empfehlungen zur Sicherheit

  • in Bezug aufNetzwerksicherheitFür die Community ist es von entscheidender Bedeutung, die verschiedenen Angriffsmuster und Strategien von APT28 zu verstehen, um sie kontinuierlich zu verbessern.
  • Unternehmen müssen wachsam sein und sofortige Vorkehrungen gegen verdächtige Aktivitäten treffen und sicherstellen, dass alle Systeme rechtzeitig mit Patches versehen werden.

Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/russische-hackergruppe-apt28-nutzt-ntlm-schwachstellen-aus-html

Wie (0)
Vorherige Mittwoch, 3. Februar 2024 um 17:22 Uhr.
Weiter Freitag, 5. Februar 2024, 18:59 Uhr

Empfohlen