Door de Russische staat gesponsorde actoren hebben van april 2022 tot november 2023 NT LAN Manager (NTLM) v2-hash-relay-aanvallen op verschillende manieren uitgevoerd, gericht op hoogwaardige doelen over de hele wereld.
De aanvallen worden toegeschreven aan een “agressieve” hackploeg APT28hebben hun ogen gericht op organisaties die zich bezighouden met buitenlandse zaken, energie, defensie en transport, maar ook op organisaties die betrokken zijn bij arbeid, sociaal welzijn, financiën, ouderschap en lokale gemeenteraden.
Cyberbeveiligingsbedrijf Trend Micro beoordeelde deze inbraken als een “kostenefficiënte methode om pogingen te automatiseren om met brute kracht de netwerken binnen te dringen” van zijn doelwitten, en merkte op dat de tegenstander in de loop van de tijd mogelijk duizenden e-mailaccounts heeft gecompromitteerd.
APT28 wordt ook gevolgd door de bredere cyberbeveiligingsgemeenschap onder de namen Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (voorheen Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy en TA422.
De groep, die vermoedelijk al sinds 2009 actief is, wordt beheerd door de Russische militaire inlichtingendienst GRU en heeft een trackrecord in het orkestreren van spear-phishing met kwaadaardige bijlagen of strategische webcompromissen om de infectieketens te activeren.
In april 2023 was APT28 betrokken bij aanvallen waarbij gebruik werd gemaakt van inmiddels gepatchte fouten in netwerkapparatuur van Cisco om verkenningen uit te voeren en malware in te zetten tegen geselecteerde doelen.
De natiestaatacteur kwam in december in de schijnwerpers omdat hij misbruik maakte van een privilege-escalatiefout in Microsoft Outlook (CVE-2023-23397, CVSS-score: 9,8) en WinRAR (CVE-2023-38831, CVSS-score: 7,8) om toegang te krijgen de Net-NTLMv2-hash van een gebruiker en gebruik deze om een NTLM Relay-aanval tegen een andere service uit te voeren om zich als gebruiker te verifiëren.
Volgens een advies uit maart 2023 van CERT-EU zou een exploit voor CVE-2023-23397 al in april 2022 zijn gebruikt om Oekraïense entiteiten aan te vallen.
Er is ook waargenomen dat er gebruik wordt gemaakt van lokmiddelen die verband houden met de aanhoudende oorlog tussen Israël en Hamas om de levering van een op maat gemaakte achterdeur genaamd HeadLace te vergemakkelijken, naast het aanvallen van Oekraïense overheidsinstanties en Poolse organisaties met phishing-berichten die zijn ontworpen om achterdeurtjes en informatiestelers zoals OCEANMAP, MASEPIE en STAALHAAK.
Een van de belangrijke aspecten van de aanvallen van de dreigingsactor is de voortdurende poging om zijn operationele draaiboek te verbeteren, door het verfijnen en sleutelen aan zijn benaderingen om detectie te omzeilen.
Dit omvat de toevoeging van anonimiseringslagen zoals VPN-services, Tor, IP-adressen van datacenters en gecompromitteerde EdgeOS-routers om scan- en sondeactiviteiten uit te voeren. Een andere tactiek is het verzenden van spearphishing-berichten vanaf gecompromitteerde e-mailaccounts via Tor of VPN.
“Pawn Storm heeft ook EdgeOS-routers gebruikt om spearphishing-e-mails te verzenden, callbacks uit te voeren van CVE-2023-23397-exploits in Outlook en proxy-inloggegevens te stelen op phishing-websites”, aldus beveiligingsonderzoekers Feike Hacquebord en Fernando Merces.
“Een deel van de post-exploitatieactiviteiten van de groep omvat het wijzigen van maprechten in de mailbox van het slachtoffer, wat leidt tot verbeterde persistentie”, aldus de onderzoekers. “Met behulp van de e-mailaccounts van het slachtoffer is zijdelingse verplaatsing mogelijk door extra kwaadaardige e-mailberichten te verzenden vanuit de organisatie van het slachtoffer.”
Het is momenteel niet bekend of de bedreigingsacteur zelf deze routers heeft geschonden, of dat hij routers gebruikt die al zijn gecompromitteerd door een externe actor. Dat gezegd hebbende, zijn naar schatting niet minder dan 100 EdgeOS-routers geïnfecteerd.
Bovendien hebben recente campagnes voor het verzamelen van inloggegevens tegen Europese overheden gebruik gemaakt van valse inlogpagina’s die Microsoft Outlook nabootsen en die op webhook worden gehost.[.]site-URL’s, een patroon dat eerder aan de groep werd toegeschreven.
In een phishing-campagne van oktober 2022 werden echter ambassades en andere spraakmakende entiteiten uitgekozen om een ”eenvoudige” informatiedief te leveren via e-mails die bestanden met specifieke extensies onderschepte en deze naar een gratis dienst voor het delen van bestanden genaamd Keep.sh exfiltreerde.
“De luidheid van de repetitieve, vaak grove en agressieve campagnes overstemt de stilte, subtiliteit en complexiteit van de aanvankelijke inbreuk, evenals de acties na de uitbuiting die zouden kunnen plaatsvinden zodra Pawn Storm een eerste voet aan de grond krijgt in slachtofferorganisaties,” zeiden de onderzoekers.
De ontwikkeling komt op het moment dat Recorded Future News een voortdurende hackcampagne onthulde, ondernomen door de Russische bedreigingsacteur COLDRIVER (ook bekend als Calisto, Iron Frontier of Star Blizzard) die zich voordoet als onderzoekers en academici om potentiële slachtoffers om te leiden naar pagina’s voor het verzamelen van inloggegevens.
