概述
俄罗斯APT28黑客团队自2022年4月至2023年11月通过NT LAN Manager (NTLM) v2哈希中继攻击方式,针对全球各地的高价值目标实施网络攻击。
袭击目标
APT28瞄准了外交、能源、国防和交通等领域的组织,以及与劳工、社会福利、金融、育儿和地方市议会有关的机构。
攻击方式
- Trend Micro安全公司分析这些攻击手段,认为APT28通过自动化手段试图强行侵入网络,可能已经攻破了数千个电子邮件账户。
- APT28还通过其他多个别名被网络安全社区所知,包括Blue Athena、BlueDelta、Fancy Bear等。
- 自2009年以来,该黑客团队一直活跃,由俄罗斯GRU军事情报部门运营。
攻击案例分析
- 2023年4月,APT28利用Cisco网络设备的漏洞进行侦察和部署恶意软件。
- 该团队利用Microsoft Outlook的权限提升漏洞(CVE-2023-23397)和WinRAR的代码执行漏洞(CVE-2023-38831)进行NTLM中继攻击。
- APT28还利用与以色列-哈马斯冲突相关的诱饵传播名为HeadLace的后门程序,并针对乌克兰和波兰的组织进行钓鱼攻击。
攻击特点
APT28不断改进其攻击技术及武器库,调整策略以规避检测。
NTLM中继攻击技术
- APT28使用VPN、Tor、数据中心IP地址和被入侵的EdgeOS路由器作为匿名化工具进行扫描和侦察。
- 该组织通过Tor或VPN发送钓鱼邮件,利用已知漏洞和钓鱼网站窃取凭据。
安全建议
- 对于网络安全社区来说,了解APT28的多样化攻击模式和持续改进的策略是至关重要的。
- 机构需要保持警惕,对于任何可疑活动立即采取预防措施,并确保所有系统都及时打上补丁。
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/russian-apt28-hacker-group-exploits-ntlm-vulnerabilities.html