En un nuevo aviso conjunto, las agencias de inteligencia y ciberseguridad de EE. UU. y otros países instan a los usuarios de Ubiquiti EdgeRouter a tomar medidas de protección, semanas después de que las fuerzas del orden derribaran una botnet que incluía enrutadores infectados como parte de una operación con el nombre en código Dying Ember.
Se dice que la botnet, llamada MooBot, fue utilizada por un actor de amenazas vinculado a Rusia conocido como APT28 para facilitar operaciones cibernéticas encubiertas y lanzar malware personalizado para su posterior explotación. Se sabe que APT28, afiliado a la Dirección Principal del Estado Mayor de Rusia (GRU), está activo desde al menos 2007.
Los actores de APT28 han «utilizado EdgeRouters comprometidos a nivel mundial para recopilar credenciales, recopilar resúmenes NTLMv2, tráfico de red proxy y alojar páginas de inicio de phishing y herramientas personalizadas», dijeron las autoridades. dicho [PDF].
El uso de EdgeRouters por parte del adversario se remonta a 2022, y los ataques tuvieron como objetivo los sectores aeroespacial y de defensa, educación, energía y servicios públicos, gobiernos, hotelería, manufactura, petróleo y gas, comercio minorista, tecnología y transporte en la República Checa, Italia, Lituania. Jordania, Montenegro, Polonia, Eslovaquia, Turquía, Ucrania, Emiratos Árabes Unidos y Estados Unidos
Los ataques MooBot implican apuntar a enrutadores con credenciales predeterminadas o débiles para implementar troyanos OpenSSH, y APT28 adquiere este acceso para entregar scripts bash y otros binarios ELF para recopilar credenciales, tráfico de red proxy, alojar páginas de phishing y otras herramientas.
Esto incluye secuencias de comandos Python para cargar credenciales de cuentas que pertenecen a usuarios de correo web específicos, que se recopilan mediante secuencias de comandos entre sitios y campañas de phishing de navegador en el navegador (BitB).
APT28 también se ha relacionado con la explotación de CVE-2023-23397 (puntuación CVSS: 9,8), una falla crítica de escalada de privilegios ahora parcheada en Microsoft Outlook que podría permitir el robo de hashes de NT LAN Manager (NTLM) y montar un ataque de retransmisión. sin requerir ninguna interacción del usuario.
Otra herramienta en su arsenal de malware es MASEPIE, una puerta trasera de Python capaz de ejecutar comandos arbitrarios en las máquinas víctimas utilizando Ubiquiti EdgeRouters comprometidos como infraestructura de comando y control (C2).
«Con acceso raíz a Ubiquiti EdgeRouters comprometidos, los actores de APT28 tienen acceso ilimitado a sistemas operativos basados en Linux para instalar herramientas y ofuscar su identidad mientras realizan campañas maliciosas», señalaron las agencias.
Se recomienda a las organizaciones realizar un restablecimiento de fábrica del hardware de los enrutadores para eliminar los sistemas de archivos de archivos maliciosos, actualizar a la última versión del firmware, cambiar las credenciales predeterminadas e implementar reglas de firewall para evitar la exposición de los servicios de administración remota.
Las revelaciones son una señal de que los piratas informáticos de los estados-nación utilizan cada vez más enrutadores como plataforma de lanzamiento para ataques, usándolos para crear botnets como VPNFilter, Cyclops Blink y KV-botnet y llevar a cabo sus actividades maliciosas.
El boletín llega un día después de que las naciones de los Cinco Ojos denunciaran a APT29, el grupo de amenazas afiliado al Servicio de Inteligencia Exterior (SVR) de Rusia y la entidad detrás de los ataques a SolarWinds, Microsoft y HPE, por emplear cuentas de servicio y cuentas inactivas para acceder a la nube. entornos en las organizaciones objetivo.