Ciberdelincuentes rusos APT28 apuntan a organizaciones de alto valor con ataques de retransmisión NTLM

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Actores patrocinados por el estado ruso han organizado ataques de retransmisión de hash de NT LAN Manager (NTLM) v2 a través de varios métodos desde abril de 2022 hasta noviembre de 2023, dirigidos a objetivos de alto valor en todo el mundo.

Los ataques, atribuidos a un grupo de hackers “agresivo” llamado APT28, han puesto sus ojos en organizaciones que se ocupan de asuntos exteriores, energía, defensa y transporte, así como en aquellas involucradas con el trabajo, el bienestar social, las finanzas, la paternidad y la ciudad local. concejos.La firma de ciberseguridad Trend Micro evaluó estas intrusiones como un “método rentable de automatizar los intentos de ingresar por la fuerza bruta en las redes” de sus objetivos, señalando que el adversario puede haber comprometido miles de cuentas de correo electrónico a lo largo del tiempo.

APT28 también es rastreado por la comunidad de ciberseguridad en general bajo los nombres Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422.

El grupo, que se cree que está activo desde al menos 2009, es operado por el servicio de inteligencia militar GRU de Rusia y tiene un historial de orquestar campañas de phishing con archivos adjuntos maliciosos o compromisos web estratégicos para activar las cadenas de infección.

En abril de 2023, APT28 estuvo implicado en ataques que aprovecharon fallas ahora reparadas en equipos de red de Cisco para realizar reconocimientos e implementar malware contra objetivos seleccionados.

En diciembre, el actor del estado-nación fue el centro de atención por explotar una falla de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9.8) y un error de ejecución de código en WinRAR (CVE-2023-38831, puntuación CVSS). : 7.8) para acceder al hash Net-NTLMv2 de un usuario y utilizarlo para organizar un ataque de retransmisión NTLM para obtener acceso no autorizado a buzones de correo que pertenecen a empresas del sector público y privado.

Se dice que un exploit para CVE-2023-23397 se utilizó para atacar a entidades ucranianas ya en abril de 2022, según un aviso de marzo de 2023 de CERT-EU.

También se ha observado que aprovecha señuelos relacionados con la guerra en curso entre Israel y Hamas para facilitar la entrega de una puerta trasera personalizada llamada HeadLace, junto con entidades gubernamentales ucranianas y organizaciones polacas que atacan con mensajes de phishing diseñados para implementar implantes personalizados y ladrones de información como OCEANMAP, MASEPIE, y GANCHO DE ACERO.

Uno de los aspectos importantes de los ataques del actor de amenazas es el intento continuo de mejorar su manual operativo, afinando y modificando sus enfoques para evadir la detección.

Esto incluye la adición de capas de anonimización como servicios VPN, Tor, direcciones IP del centro de datos y enrutadores EdgeOS comprometidos para realizar actividades de escaneo y sondeo. Otra táctica consiste en enviar mensajes de phishing desde cuentas de correo electrónico comprometidas a través de Tor o VPN.

Actualmente, no se sabe si los propios actores de la amenaza violaron estos enrutadores o si están utilizando enrutadores que ya fueron comprometidos por un tercero. Dicho esto, se estima que no menos de 100 enrutadores EdgeOS han sido infectados.

Además, las recientes campañas de recolección de credenciales contra gobiernos europeos han utilizado páginas de inicio de sesión falsas que imitan a Microsoft Outlook y que están alojadas en URL de sitios webhook[.], un patrón previamente atribuido al grupo.

En una señal de que el grupo no es ajeno a girar y cambiar de táctica cuando es necesario, una campaña de phishing en octubre de 2022 destacó a embajadas y otras entidades de alto perfil para entregar un ladrón de información “simple” a través de correos electrónicos que capturaba archivos que coincidían con extensiones específicas y los exfiltraba. a un servicio gratuito para compartir archivos llamado Keep.sh.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *