In een nieuw gezamenlijk advies dringen cyberveiligheids- en inlichtingendiensten uit de VS en andere landen er bij gebruikers van Ubiquiti EdgeRouter op aan beschermende maatregelen te nemen, weken nadat een botnet met geïnfecteerde routers door wetshandhavers werd geveld als onderdeel van een operatie met de codenaam Dying Ember.
Het botnet, genaamd MooBot, zou zijn gebruikt door een aan Rusland gelieerde bedreigingsacteur, bekend als APT28, om geheime cyberoperaties te vergemakkelijken en aangepaste malware te droppen voor vervolgexploitatie. Het is bekend dat APT28, verbonden aan het Russische Hoofddirectoraat van de Generale Staf (GRU), al sinds 2007 actief is.
APT28-actoren hebben “gecompromitteerde EdgeRouters wereldwijd gebruikt om inloggegevens te verzamelen, NTLMv2-samenvattingen te verzamelen, netwerkverkeer te proxy’s en spear-phishing-landingspagina’s en aangepaste tools te hosten”, aldus de autoriteiten. [PDF].
Het gebruik van EdgeRouters door de tegenstander dateert uit 2022, met de aanvallen gericht op de lucht- en ruimtevaart- en defensiesector, onderwijs, energie en nutsvoorzieningen, overheden, horeca, productie, olie en gas, detailhandel, technologie en transportsectoren in Tsjechië, Italië, Litouwen, Jordanië, Montenegro, Polen, Slowakije, Turkije, Oekraïne, de VAE en de VS
MooBot-aanvallen omvatten het targeten van routers met standaard of zwakke inloggegevens om OpenSSH-trojans in te zetten, waarbij APT28 deze toegang verwerft om bash-script en andere ELF-binaire bestanden te leveren om inloggegevens, proxy-netwerkverkeer, host-phishing-pagina’s en andere hulpmiddelen te verzamelen.
Dit omvat Python-scripts om accountgegevens van specifiek gerichte webmailgebruikers te uploaden, die worden verzameld via cross-site scripting en browser-in-the-browser (BitB) spear-phishing-campagnes.
APT28 is ook in verband gebracht met de exploitatie van CVE-2023-23397 (CVSS-score: 9,8), een nu gepatcht kritieke escalatiefout in privileges in Microsoft Outlook die de diefstal van NT LAN Manager (NTLM)-hashes mogelijk zou kunnen maken en een relay-aanval zou kunnen veroorzaken zonder dat er enige gebruikersinteractie nodig is.
Een ander hulpmiddel in zijn malwarearsenaal is MASEPIE, een Python-achterdeur die willekeurige opdrachten kan uitvoeren op slachtoffermachines, waarbij gebruik wordt gemaakt van gecompromitteerde Ubiquiti EdgeRouters als command-and-control (C2)-infrastructuur.
“Met root-toegang tot gecompromitteerde Ubiquiti EdgeRouters hebben APT28-actoren onbelemmerde toegang tot op Linux gebaseerde besturingssystemen om tooling te installeren en hun identiteit te verdoezelen terwijl ze kwaadaardige campagnes voeren”, merkten de instanties op.
Organisaties wordt aangeraden een hardware-fabrieksreset van de routers uit te voeren om bestandssystemen van schadelijke bestanden te verwijderen, te upgraden naar de nieuwste firmwareversie, standaardreferenties te wijzigen en firewallregels te implementeren om blootstelling van externe beheerservices te voorkomen.
De onthullingen zijn een teken dat hackers van natiestaten steeds vaker routers gebruiken als startpunt voor aanvallen en deze gebruiken om botnets zoals VPNFilter, Cyclops Blink en KV-botnet te creëren en hun kwaadaardige activiteiten uit te voeren.
Het bulletin arriveert een dag nadat de Five Eyes-landen APT29 – de dreigingsgroep verbonden aan de Russische Buitenlandse Inlichtingendienst (SVR) en de entiteit achter de aanvallen op SolarWinds, Microsoft en HPE – hebben opgeroepen voor het gebruik van serviceaccounts en slapende accounts om toegang te krijgen tot de cloud. omgevingen bij doelorganisaties.
