Des acteurs parrainés par l’État russe ont organisé des attaques par relais de hachage NT LAN Manager (NTLM) v2 par diverses méthodes entre avril 2022 et novembre 2023, ciblant des cibles de grande valeur dans le monde entier.
Les attaques, attribuées à une équipe de hackers « agressive » appelée APT28ont jeté leur dévolu sur les organisations s’occupant des affaires étrangères, de l’énergie, de la défense et des transports, ainsi que sur celles impliquées dans le travail, la protection sociale, les finances, la parentalité et les conseils municipaux locaux.
Entreprise de cybersécurité Trend Micro évalué ces intrusions comme une « méthode rentable d’automatisation des tentatives de pénétration brutale dans les réseaux » de ses cibles, notant que l’adversaire a pu compromettre des milliers de comptes de messagerie au fil du temps.
APT28 est également suivi par la communauté de cybersécurité au sens large sous les noms Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anciennement Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy et TA422.
Le groupe, soupçonné d’être actif depuis au moins 2009, est géré par le service de renseignement militaire russe GRU et a déjà orchestré du spear phishing contenant des pièces jointes malveillantes ou des compromissions stratégiques sur le Web pour activer les chaînes d’infection.
En avril 2023, APT28 a été impliqué dans des attaques exploitant des failles désormais corrigées dans les équipements réseau de Cisco pour effectuer des reconnaissances et déployer des logiciels malveillants contre des cibles sélectionnées.
L’acteur étatique a été mis sous le feu des projecteurs en décembre pour avoir exploité une faille d’élévation de privilèges dans Microsoft Outlook (CVE-2023-23397, score CVSS : 9,8) et WinRAR (CVE-2023-38831, score CVSS : 7,8) pour accéder à Microsoft Outlook. le hachage Net-NTLMv2 d’un utilisateur et utilisez-le pour organiser une attaque NTLM Relay contre un autre service afin de vous authentifier en tant qu’utilisateur.
Un exploit pour CVE-2023-23397 aurait été utilisé pour cibler des entités ukrainiennes dès avril 2022, selon un Avis de mars 2023 du CERT-UE.
Il a également été observé qu’il exploitait des leurres liés à la guerre en cours entre Israël et le Hamas pour faciliter la livraison d’une porte dérobée personnalisée appelée HeadLace, aux côtés d’entités gouvernementales ukrainiennes et d’organisations polonaises en grève avec des messages de phishing conçus pour déployer des portes dérobées et des voleurs d’informations comme OCEANMAP, MASEPIE et CROCHET EN ACIER.
L’un des aspects importants des attaques des acteurs menaçants est la tentative continue d’améliorer leur manuel opérationnel, en affinant et en bricolant leurs approches pour échapper à la détection.
Cela inclut l’ajout de couches d’anonymisation telles que les services VPN, Tor, les adresses IP des centres de données et les routeurs EdgeOS compromis pour effectuer des activités d’analyse et de sondage. Une autre tactique consiste à envoyer des messages de spear phishing à partir de comptes de messagerie compromis via Tor ou VPN.
« Pawn Storm utilise également des routeurs EdgeOS pour envoyer des e-mails de spear phishing, effectuer des rappels d’exploits CVE-2023-23397 dans Outlook et voler des informations d’identification par proxy sur des sites Web de phishing », ont déclaré les chercheurs en sécurité Feike Hacquebord et Fernando Merces.
« Une partie des activités post-exploitation du groupe implique la modification des autorisations des dossiers dans la boîte aux lettres de la victime, conduisant à une persistance améliorée », ont indiqué les chercheurs. « En utilisant les comptes de messagerie de la victime, un mouvement latéral est possible en envoyant des messages électroniques malveillants supplémentaires depuis l’organisation de la victime. »
On ne sait actuellement pas si l’auteur de la menace a lui-même violé ces routeurs ou s’il utilise des routeurs déjà compromis par un acteur tiers. Cela dit, on estime que pas moins de 100 routeurs EdgeOS ont été infectés.
En outre, les récentes campagnes de collecte d’informations d’identification contre les gouvernements européens ont utilisé de fausses pages de connexion imitant Microsoft Outlook, hébergées sur un webhook.[.]URL du site, un modèle précédemment attribué au groupe.
Cependant, une campagne de phishing d’octobre 2022 a ciblé les ambassades et d’autres entités de premier plan pour livrer un « simple » voleur d’informations via des e-mails qui capturaient des fichiers correspondant à des extensions spécifiques et les exfiltraient vers un service de partage de fichiers gratuit nommé Keep.sh.
« Le volume des campagnes répétitives, souvent grossières et agressives, noie le silence, la subtilité et la complexité de l’intrusion initiale, ainsi que les actions post-exploitation qui pourraient survenir une fois que Pawn Storm aura pris pied dans les organisations victimes. » » ont déclaré les chercheurs.
Le développement intervient comme Recorded Future News révélé une campagne de piratage en cours entreprise par l’acteur russe COLDRIVER (alias Calisto, Iron Frontier ou Star Blizzard) qui se fait passer pour des chercheurs et des universitaires pour rediriger les victimes potentielles vers des pages de collecte d’informations d’identification.