в общих чертах
ДжорджияAPT28хакерС апреля 2022 года по ноябрь 2023 года команда проводила кибератаки против важных целей по всему миру, используя метод хэш-релейной атаки NT LAN Manager (NTLM) v2.
цель атаки
APT28 нацелен на организации в области иностранных дел, энергетики, обороны и транспорта, а также на органы, занимающиеся вопросами труда, социального обеспечения, финансов, ухода за детьми и местные советы.
стиль атаки (физика)
- Специалисты Trend Micro Security проанализировали эти атаки и пришли к выводу, что APT28 пыталась проникнуть в сеть автоматизированным способом и, возможно, скомпрометировала тысячи учетных записей электронной почты.
- APT28 также использовался под множеством других псевдонимовинформационная безопасностьИзвестные сообществу компании, включая Blue Athena, BlueDelta, Fancy Bear и другие.
- Хакерская группа действует с 2009 года и управляется российской военной разведкой ГРУ.
Примеры нападений
- В апреле 2023 года APT28 использовала уязвимости в сетевом оборудовании Cisco для разведки и внедрения вредоносного ПО.
- Команда использовала уязвимость повышения привилегий в Microsoft Outlook (CVE-2023-23397) и уязвимости выполнения кода WinRAR (CVE-2023-38831) для выполнения атак на ретрансляцию NTLM.
- APT28 также использовал приманки, связанные с конфликтом между Израилем и Хамасом, для распространения программы с бэкдором под названием HeadLace, а также нацеливался на организации в Украине и Польше, чтобыфишинговая атака (вычислительная техника).
Характеристики атаки
APT28 постоянно совершенствует свои методы и арсенал атак, адаптируя тактику для обхода обнаружения.
Техника атаки ретрансляции NTLM
- APT28 использует VPN, Tor, IP-адреса центров обработки данных и взломанные маршрутизаторы EdgeOS в качестве средств анонимизации для сканирования и разведки.
- Организация рассылает фишинговые письма через Tor или VPN, используя известные уязвимости и фишинговые сайты для кражи учетных данных.
Рекомендации по безопасности
- в отношенииинформационная безопасностьДля сообщества очень важно понять разнообразные схемы атак APT28 и стратегии, чтобы постоянно совершенствовать их.
- Организациям необходимо проявлять бдительность, немедленно принимать меры предосторожности против любой подозрительной активности и следить за своевременным исправлением всех систем.
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/russian-apt28-hacker-group-exploits-ntlm-vulnerabilities.html.