De aan Rusland gelinkte dreigingsacteur bekend als APT28 is in verband gebracht met meerdere lopende phishing-campagnes waarbij gebruik wordt gemaakt van lokdocumenten die overheids- en niet-gouvernementele organisaties (NGO’s) in Europa, de zuidelijke Kaukasus, Centraal-Azië en Noord- en Zuid-Amerika imiteren.
“De aan het licht gebrachte verlokkingen omvatten een mix van interne en openbaar beschikbare documenten, evenals mogelijke door actoren gegenereerde documenten die verband houden met financiën, kritieke infrastructuur, uitvoerende opdrachten, cyberveiligheid, maritieme veiligheid, gezondheidszorg, zakenleven en industriële productie op defensiegebied”, zegt IBM X. -Force zei in een rapport dat vorige week werd gepubliceerd.
Het technologiebedrijf volgt de activiteit onder de naam ITG05, ook bekend als Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (voorheen Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, TA422 en UAC-028.
De onthulling komt meer dan drie maanden nadat de tegenstander werd opgemerkt met behulp van lokvogels die verband hielden met de aanhoudende oorlog tussen Israël en Hamas om een op maat gemaakte achterdeur, genaamd HeadLace, af te leveren.
APT28 heeft zich sindsdien ook gericht op Oekraïense overheidsinstanties en Poolse organisaties met phishing-berichten die zijn ontworpen om op maat gemaakte implantaten en informatiestelers zoals MASEPIE, OCEANMAP en STEELHOOK in te zetten.
Andere campagnes hebben geleid tot het misbruiken van beveiligingsfouten in Microsoft Outlook (CVE-2023-23397, CVSS-score: 9,8) om NT LAN Manager (NTLM) v2-hashes te plunderen, waardoor de mogelijkheid ontstaat dat de bedreigingsacteur andere zwakke punten kan gebruiken om NTLMv2-hashes te exfiltreren voor gebruik bij estafetteaanvallen.
De nieuwste campagnes die IBM X-Force tussen eind november 2023 en februari 2024 heeft waargenomen, maken gebruik van de “search-ms:” URI-protocolhandler in Microsoft Windows om slachtoffers te misleiden om malware te downloaden die wordt gehost op door actoren bestuurde WebDAV-servers.
Er zijn aanwijzingen dat zowel de WebDAV-servers als de MASEPIE C2-servers mogelijk worden gehost op gecompromitteerde Ubiquiti-routers, een botnet dat vorige maand door de Amerikaanse overheid werd verwijderd.
Bij de phishing-aanvallen worden entiteiten uit verschillende landen nagebootst, zoals Argentinië, Oekraïne, Georgië, Wit-Rusland, Kazachstan, Polen, Armenië, Azerbeidzjan en de VS, waarbij gebruik wordt gemaakt van een mix van authentieke, openbaar beschikbare overheids- en niet-gouvernementele lokdocumenten om de infectie te activeren. kettingen.
“In een update van hun methodologieën maakt ITG05 gebruik van de gratis beschikbare hostingprovider firstcloudit[.]com om ladingen te organiseren om lopende operaties mogelijk te maken”, aldus beveiligingsonderzoekers Joe Fasulo, Claire Zaboeva en Golo Mühr.
Het hoogtepunt van het uitgebreide plan van APT28 eindigt met de uitvoering van MASEPIE, OCEANMAP en STEELHOOK, die zijn ontworpen om bestanden te exfiltreren, willekeurige opdrachten uit te voeren en browsergegevens te stelen. OCEANMAP wordt gekarakteriseerd als een meer capabele versie van CredoMap, een andere achterdeur die eerder door de groep werd gebruikt.
“ITG05 blijft aanpasbaar aan veranderingen in kansen door nieuwe infectiemethoden te leveren en gebruik te maken van commercieel beschikbare infrastructuur, terwijl de malwarecapaciteiten consequent worden ontwikkeld”, concluderen de onderzoekers.
