Los actores patrocinados por el estado ruso han organizado ataques de retransmisión de hash de NT LAN Manager (NTLM) v2 a través de varios métodos desde abril de 2022 hasta noviembre de 2023, dirigidos a objetivos de alto valor en todo el mundo.
Los ataques, atribuidos a un grupo de hackers «agresivos» llamado APT28han puesto sus ojos en organizaciones que se ocupan de asuntos exteriores, energía, defensa y transporte, así como en aquellas relacionadas con el trabajo, el bienestar social, las finanzas, la paternidad y los ayuntamientos locales.
La empresa de ciberseguridad Trend Micro juzgado estas intrusiones como un «método rentable para automatizar los intentos de ingresar por la fuerza bruta en las redes» de sus objetivos, señalando que el adversario puede haber comprometido miles de cuentas de correo electrónico a lo largo del tiempo.
APT28 también es rastreado por la comunidad de ciberseguridad en general bajo los nombres Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422.
El grupo, que se cree que está activo desde al menos 2009, es operado por el servicio de inteligencia militar GRU de Rusia y tiene un historial de orquestar phishing dirigido que contiene archivos adjuntos maliciosos o compromisos web estratégicos para activar las cadenas de infección.
En abril de 2023, APT28 estuvo implicado en ataques que aprovecharon fallas ahora reparadas en equipos de red de Cisco para realizar reconocimientos e implementar malware contra objetivos seleccionados.
El actor del estado-nación, en diciembre, fue el centro de atención por explotar una falla de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9,8) y WinRAR (CVE-2023-38831, puntuación CVSS: 7,8) para acceder el hash Net-NTLMv2 de un usuario y utilizarlo para organizar un ataque de retransmisión NTLM contra otro servicio para autenticarse como usuario.
Se dice que un exploit para CVE-2023-23397 se utilizó para atacar a entidades ucranianas ya en abril de 2022, según un Aviso de marzo de 2023 del CERT-UE.
También se ha observado que aprovecha señuelos relacionados con la actual guerra entre Israel y Hamas para facilitar la entrega de una puerta trasera personalizada llamada HeadLace, junto con entidades gubernamentales ucranianas y organizaciones polacas que atacan con mensajes de phishing diseñados para desplegar puertas traseras y ladrones de información como OCEANMAP, MASEPIE y GANCHO DE ACERO.
Uno de los aspectos importantes de los ataques del actor de amenazas es el intento continuo de mejorar su manual operativo, afinando y modificando sus enfoques para evadir la detección.
Esto incluye la adición de capas de anonimización como servicios VPN, Tor, direcciones IP del centro de datos y enrutadores EdgeOS comprometidos para realizar actividades de escaneo y sondeo. Otra táctica consiste en enviar mensajes de phishing desde cuentas de correo electrónico comprometidas a través de Tor o VPN.
«Pawn Storm también ha estado utilizando enrutadores EdgeOS para enviar correos electrónicos de phishing, realizar devoluciones de llamadas de exploits CVE-2023-23397 en Outlook y robo de credenciales de proxy en sitios web de phishing», dijeron los investigadores de seguridad Feike Hacquebord y Fernando Merces.
«Parte de las actividades posteriores a la explotación del grupo implican la modificación de los permisos de carpeta dentro del buzón de la víctima, lo que lleva a una mayor persistencia», dijeron los investigadores. «Al utilizar las cuentas de correo electrónico de la víctima, es posible realizar movimientos laterales mediante el envío de mensajes de correo electrónico maliciosos adicionales desde dentro de la organización de la víctima».
Actualmente no se sabe si los propios actores de la amenaza violaron estos enrutadores o si están utilizando enrutadores que ya fueron comprometidos por un tercero. Dicho esto, se estima que no menos de 100 enrutadores EdgeOS han sido infectados.
Además, las recientes campañas de recolección de credenciales contra gobiernos europeos han utilizado páginas de inicio de sesión falsas que imitan a Microsoft Outlook y que están alojadas en un webhook.[.]URL del sitio, un patrón previamente atribuido al grupo.
Sin embargo, una campaña de phishing de octubre de 2022 señaló a embajadas y otras entidades de alto perfil para entregar un ladrón de información «simple» a través de correos electrónicos que capturaba archivos que coincidían con extensiones específicas y los exfiltraba a un servicio gratuito para compartir archivos llamado Keep.sh.
«El volumen de las campañas repetitivas, a menudo crudas y agresivas, ahoga el silencio, la sutileza y la complejidad de la intrusión inicial, así como las acciones posteriores a la explotación que podrían ocurrir una vez que Pawn Storm consiga un punto de apoyo inicial en las organizaciones víctimas». dijeron los investigadores.
El desarrollo se produce como Recorded Future News. reveló una campaña de piratería en curso llevada a cabo por el actor de amenazas ruso COLDRIVER (también conocido como Calisto, Iron Frontier o Star Blizzard) que se hace pasar por investigadores y académicos para redirigir a posibles víctimas a páginas de recolección de credenciales.