Rus APT28 Bilgisayar Korsanları, NTLM Röle Saldırılarıyla Yüksek Değerli Kuruluşları Hedef Alıyor
Rus devlet destekli aktörler, Nisan 2022'den Kasım 2023'e kadar çeşitli yöntemlerle dünya çapında yüksek değerli hedefleri hedef alan NT LAN Manager (NTLM) v2 hash relay saldırıları düzenledi.
APT28 adlı "agresif" bir bilgisayar korsanlığı ekibine atfedilen saldırılar, dışişleri, enerji, savunma ve ulaşımla uğraşan kuruluşların yanı sıra işgücü, sosyal refah, finans, ebeveynlik ve yerel şehir konseyleriyle ilgili kuruluşlara da göz dikti.
Siber güvenlik firması Trend Micro, bu izinsiz girişleri, hedeflerinin "ağlarına kaba kuvvetle girme girişimlerini otomatikleştirmek için uygun maliyetli bir yöntem" olarak değerlendirdi ve düşmanın zaman içinde binlerce e-posta hesabını tehlikeye atmış olabileceğini belirtti.
APT28 ayrıca Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (eski adıyla Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy ve TA422 adları altında daha geniş siber güvenlik topluluğu tarafından izlenmektedir.
En az 2009'dan beri aktif olduğuna inanılan grup, Rusya'nın GRU askeri istihbarat servisi tarafından işletiliyor ve enfeksiyon zincirlerini etkinleştirmek için kötü amaçlı ekler veya stratejik web uzlaşmaları içeren hedef odaklı kimlik avı kampanyaları düzenleme konusunda bir geçmişe sahip.
Nisan 2023'te APT28, keşif yapmak ve belirli hedeflere karşı kötü amaçlı yazılım dağıtmak için Cisco'nun ağ ekipmanındaki artık yamalanmış kusurlardan yararlanan saldırılara karıştı.
Ulus devlet aktörü, Aralık ayında, Microsoft Outlook'taki bir ayrıcalık yükseltme kusurundan (CVE-2023-23397, CVSS puanı: 9.8) ve WinRAR'daki (CVE-2023-38831, CVSS puanı: 7.8) bir kod yürütme hatasından yararlanarak bir kullanıcının Net-NTLMv2 karmasına erişmek ve bunu kamu ve özel sektör firmalarına ait posta kutularına yetkisiz erişim elde etmek için bir NTLM geçiş saldırısı düzenlemek için kullanmakla gündeme geldi.
CERT-EU'nun Mart 2023 tarihli bir tavsiyesine göre, CVE-2023-23397 için bir istismarın Nisan 2022 gibi erken bir tarihte Ukraynalı varlıkları hedef almak için kullanıldığı söyleniyor.
Ayrıca, HeadLace adlı özel bir arka kapının teslimini kolaylaştırmak için devam eden İsrail-Hamas savaşıyla ilgili tuzaklardan yararlanıldığı, ayrıca Ukrayna devlet kurumlarına ve Polonyalı kuruluşlara OCEANMAP, MASPIE ve STEELHOOK gibi ısmarlama implantlar ve bilgi hırsızları yerleştirmek için tasarlanmış kimlik avı mesajlarıyla saldırdığı gözlemlendi.
Tehdit aktörünün saldırılarının önemli yönlerinden biri, operasyonel oyun kitabını sürekli olarak iyileştirme girişimi, tespit edilmekten kaçınmak için yaklaşımlarında ince ayar yapılması ve kurcalanmasıdır.
Bu, tarama ve yoklama faaliyetlerini gerçekleştirmek için VPN hizmetleri, Tor, veri merkezi IP adresleri ve güvenliği ihlal edilmiş EdgeOS yönlendiricileri gibi anonimleştirme katmanlarının eklenmesini içerir. Başka bir taktik, güvenliği ihlal edilmiş e-posta hesaplarından Tor veya VPN üzerinden hedef odaklı kimlik avı mesajları göndermeyi gerektirir.
Güvenlik araştırmacıları Feike Hacquebord ve Fernando Merces, "Pawn Storm ayrıca hedef odaklı kimlik avı e-postaları göndermek, Outlook'ta CVE-2023-23397 açıklarından yararlanma geri aramalarını gerçekleştirmek ve kimlik avı web sitelerinde proxy kimlik bilgisi hırsızlığı yapmak için EdgeOS yönlendiricilerini kullanıyor" dedi.
Araştırmacılar, "Grubun istismar sonrası faaliyetlerinin bir kısmı, kurbanın posta kutusundaki klasör izinlerinin değiştirilmesini içeriyor ve bu da kalıcılığın artmasına neden oluyor" dedi. "Kurbanın e-posta hesaplarını kullanarak, kurban kuruluşunun içinden ek kötü amaçlı e-posta mesajları göndererek yanal hareket mümkündür."
Tehdit aktörünün bu yönlendiricileri ihlal edip etmediği veya üçüncü taraf bir aktör tarafından zaten güvenliği ihlal edilmiş yönlendiriciler kullanıp kullanmadığı şu anda bilinmiyor. Bununla birlikte, en az 100 EdgeOS yönlendiricisine virüs bulaştığı tahmin ediliyor.
Ayrıca, Avrupa hükümetlerine karşı son zamanlarda yapılan kimlik bilgisi toplama kampanyaları, web kancasında barındırılan Microsoft Outlook'u taklit eden sahte oturum açma sayfaları kullanmıştır[.] site URL'leri, daha önce grupla ilişkilendirilen bir kalıp.
Ekim 2022'de düzenlenen bir kimlik avı kampanyası, grubun gerektiğinde taktikleri değiştirmeye ve değiştirmeye yabancı olmadığının bir işareti olarak, belirli uzantılarla eşleşen dosyaları yakalayan ve bunları Keep.sh adlı ücretsiz bir dosya paylaşım hizmetine sızdıran e-postalar aracılığıyla "basit" bir bilgi hırsızı göndermek için büyükelçilikleri ve diğer yüksek profilli kuruluşları seçti.
Araştırmacılar, "Tekrarlayan, çoğu zaman kaba ve agresif kampanyaların yüksekliği, ilk müdahalenin sessizliğini, inceliğini ve karmaşıklığını ve ayrıca Pawn Storm kurban örgütlerinde ilk bir yer edindiğinde meydana gelebilecek sömürü sonrası eylemleri bastırıyor" dedi.
Gelişme, Recorded Future News'in Rus tehdit aktörü COLDRIVER (diğer adıyla Calisto, Iron Frontier veya Star Blizzard) tarafından üstlenilen ve potansiyel kurbanları kimlik bilgisi toplama sayfalarına yönlendirmek için araştırmacıları ve akademisyenleri taklit eden devam eden bir bilgisayar korsanlığı kampanyasını ortaya çıkarmasıyla geldi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı