Russische staatlich unterstützte Akteure haben von April 2022 bis November 2023 NT LAN Manager (NTLM) v2-Hash-Relay-Angriffe durch verschiedene Methoden inszeniert und dabei weltweit hochkarätige Ziele ins Visier genommen.
Die Angriffe, die der „aggressiven“ Hacking-Gruppe APT28 zugeschrieben werden, haben es auf Organisationen abgesehen, die sich mit Außenpolitik, Energie, Verteidigung und Verkehr sowie mit Arbeit, Sozialfürsorge, Finanzen, Elternschaft und örtlichen Stadträten beschäftigen.
Das Cybersicherheitsunternehmen Trend Micro bewertete diese Eindringungen als eine „kostengünstige Methode, um automatisierte Versuche zu starten, sich gewaltsam Zugang zu den Netzwerken“ ihrer Ziele zu verschaffen, und stellte fest, dass der Gegner im Laufe der Zeit möglicherweise Tausende von E-Mail-Konten kompromittiert hat.
APT28 wird von der breiteren Cybersicherheitsgemeinschaft auch unter den Namen Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (ehemals Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy und TA422 verfolgt.
Die Gruppe, von der angenommen wird, dass sie mindestens seit 2009 aktiv ist, wird vom russischen Militärnachrichtendienst GRU betrieben und hat bereits mehrfach Spear-Phishing-Attacken mit bösartigen Anhängen oder strategischen Web-Kompromissen zur Aktivierung der Infektionsketten orchestriert.
Im April 2023 wurde APT28 in Angriffen mit jetzt behobenen Schwachstellen in Netzwerkausrüstung von Cisco impliziert, um Aufklärung zu betreiben und Malware gegen ausgewählte Ziele einzusetzen.
Der Nation-State-Akteur stand im Dezember im Rampenlicht, weil er eine Privileg-Eskalations-Schwachstelle in Microsoft Outlook (CVE-2023-23397, CVSS-Score: 9,8) und WinRAR (CVE-2023-38831, CVSS-Score: 7,8) ausnutzte, um den Net-NTLMv2-Hash eines Benutzers zu erhalten und ihn für einen NTLM-Relay-Angriff gegen einen anderen Dienst zur Authentifizierung als Benutzer einzusetzen.
Ein Exploit für CVE-2023-23397 soll laut einer Warnung von CERT-EU im März 2023 bereits ab April 2022 eingesetzt worden sein, um ukrainische Einrichtungen anzugreifen.
Es wurde auch beobachtet, dass Köder im Zusammenhang mit dem andauernden Israel-Hamas-Krieg verwendet wurden, um die Bereitstellung eines benutzerdefinierten Backdoors namens HeadLace zu erleichtern, und dass ukrainische Regierungseinrichtungen und polnische Organisationen mit Phishing-Nachrichten angegriffen wurden, die darauf abzielten, Backdoors und Informationsdiebe wie OCEANMAP, MASEPIE und STEELHOOK zu installieren.
Ein wichtiger Aspekt der Angriffe der Bedrohungsakteure besteht darin, dass sie kontinuierlich versuchen, ihren operativen Spielplan zu verbessern und ihre Ansätze zu verfeinern und anzupassen, um einer Entdeckung zu entgehen.
Dazu gehört unter anderem die Hinzufügung von Anonymisierungsebenen wie VPN-Diensten, Tor, IP-Adressen von Rechenzentren und kompromittierten EdgeOS-Routern, um Scanning- und Sondierungsaktivitäten durchzuführen. Eine weitere Taktik besteht darin, Spear-Phishing-Nachrichten von kompromittierten E-Mail-Konten über Tor oder VPN zu senden.
„Spar Storm hat auch EdgeOS-Router verwendet, um Spear-Phishing-E-Mails zu senden, Callbacks von CVE-2023-23397-Exploits in Outlook durchzuführen und einen Proxy für die Diebstahl von Anmeldedaten auf Phishing-Websites für Anmeldeinformationen einzurichten“, sagten die Sicherheitsforscher Feike Hacquebord und Fernando Merces.
„Ein Teil der Post-Exploitation-Aktivitäten der Gruppe besteht darin, die Berechtigungen für Ordner im Postfach des Opfers zu ändern, was zu einer verbesserten Persistenz führt“, sagten die Forscher. „Mit Hilfe der E-Mail-Konten des Opfers ist eine laterale Bewegung möglich, indem zusätzliche bösartige E-Mail-Nachrichten aus der Organisation des Opfers gesendet werden.“
Es ist derzeit nicht bekannt, ob die Bedrohungsakteure selbst diese Router kompromittiert haben oder ob sie Router verwenden, die bereits von einem Dritten kompromittiert wurden. Es wird jedoch geschätzt, dass mindestens 100 EdgeOS-Router infiziert wurden.
Darüber hinaus wurden in jüngster Zeit gegen europäische Regierungen gerichtete Kampagnen zur Anmeldung von Anmeldeinformationen verwendet, bei denen gefälschte Anmeldeseiten, die Microsoft Outlook imitieren, auf webhook[.]site-URLs gehostet sind, ein Muster, das zuvor der Gruppe zugeschrieben wurde.
Eine Phishing-Kampagne im Oktober 2022 hatte jedoch Botschaften und andere hochrangige Einrichtungen im Visier, um über E-Mails einen „einfachen“ Information-Stealer zu liefern, der Dateien mit bestimmten Erweiterungen erfasste und sie an einen kostenlosen File-Sharing-Service namens Keep.sh exfiltrierte.
„Die Lautstärke der wiederholten, oft groben und aggressiven Kampagnen überdeckt die Stille, Subtilität und Komplexität des ursprünglichen Eindringens sowie der Post-Exploitation-Aktionen, die möglicherweise stattfinden, sobald Spar Storm einen ersten Anker in den Organisationen der Opfer hat“, sagten die Forscher.
Diese Entwicklung findet parallel zur Enthüllung einer andauernden Hacking-Kampagne durch den russischen Bedrohungsakteur COLDRIVER (auch bekannt als Calisto, Iron Frontier oder Star Blizzard) statt, bei der Forscher und Akademiker imitiert werden, um potenzielle Opfer auf Anmeldeinformationsseiten umzuleiten.