Российская хакерская группа APT28 использует уязвимость в системе безопасности NTLM для атак на дорогостоящие цели по всему миру

Российские хакеры из группы APT28 совершили кибератаку на хэш-реле NTLMv2, атаковав такие важные отрасли, как дипломатия, энергетика, оборона и транспорт по всему миру. Для получения доступа и данных они использовали уязвимости в программном обеспечении, включая сетевое оборудование Cisco, Microsoft Outlook и WinRAR.

в общих чертах

ДжорджияAPT28хакерС апреля 2022 года по ноябрь 2023 года команда проводила кибератаки против важных целей по всему миру, используя метод хэш-релейной атаки NT LAN Manager (NTLM) v2.

цель атаки

APT28 нацелен на организации в области иностранных дел, энергетики, обороны и транспорта, а также на органы, занимающиеся вопросами труда, социального обеспечения, финансов, ухода за детьми и местные советы.

стиль атаки (физика)

  • Специалисты Trend Micro Security проанализировали эти атаки и пришли к выводу, что APT28 пыталась проникнуть в сеть автоматизированным способом и, возможно, скомпрометировала тысячи учетных записей электронной почты.
  • APT28 также использовался под множеством других псевдонимовинформационная безопасностьИзвестные сообществу компании, включая Blue Athena, BlueDelta, Fancy Bear и другие.
  • Хакерская группа действует с 2009 года и управляется российской военной разведкой ГРУ.

Примеры нападений

  • В апреле 2023 года APT28 использовала уязвимости в сетевом оборудовании Cisco для разведки и внедрения вредоносного ПО.
  • Команда использовала уязвимость повышения привилегий в Microsoft Outlook (CVE-2023-23397) и уязвимости выполнения кода WinRAR (CVE-2023-38831) для выполнения атак на ретрансляцию NTLM.
  • APT28 также использовал приманки, связанные с конфликтом между Израилем и Хамасом, для распространения программы с бэкдором под названием HeadLace, а также нацеливался на организации в Украине и Польше, чтобыфишинговая атака (вычислительная техника).

Характеристики атаки

APT28 постоянно совершенствует свои методы и арсенал атак, адаптируя тактику для обхода обнаружения.

Российская хакерская группа APT28 использует уязвимость в системе безопасности NTLM для атак на дорогостоящие цели по всему миру

Техника атаки ретрансляции NTLM

  • APT28 использует VPN, Tor, IP-адреса центров обработки данных и взломанные маршрутизаторы EdgeOS в качестве средств анонимизации для сканирования и разведки.
  • Организация рассылает фишинговые письма через Tor или VPN, используя известные уязвимости и фишинговые сайты для кражи учетных данных.

Рекомендации по безопасности

  • в отношенииинформационная безопасностьДля сообщества очень важно понять разнообразные схемы атак APT28 и стратегии, чтобы постоянно совершенствовать их.
  • Организациям необходимо проявлять бдительность, немедленно принимать меры предосторожности против любой подозрительной активности и следить за своевременным исправлением всех систем.

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/russian-apt28-hacker-group-exploits-ntlm-vulnerabilities.html.

Нравиться (0)
Предыдущий Среда, 3 февраля 2024 г. пп5:22
Следующий Пятница, 5 февраля 2024 года пп6:59

связанное предложение