IBM X-Force informuje o trwającej kampanii rosyjskiej grupy APT28 – celem min. Polska

APT28 gościło na naszych łamach wielokrotnie. Grupa APT znana pod pseudonimem Forest Blizzard oraz ITG05 (nazwa nadana przez IBM X-Force) to grupa hakerska związana z Kremlem, działająca przy Głównym Zarządzie Wywiadowczym (GRU). Odejście od poprzedniej nazwy “Fancy Bear” w nazwie wydaje się dobrym zagraniem marketingowym umniejszającym legendę przestępców. Tym razem o kolejnej kampanii phishingowej tej grupy informuje IBM X-Force (dostęp zamknięty), który natrafił na jej ślady w sieciach należących do rządów i organizacji pozarządowych na terenie Europy w tym Polski, Azji Centralnej oraz obu Ameryk. Bazując na analizie sposobu prowadzonych kampanii oraz TTP (taktyk, technik i procedur), analitycy wskazują, że możliwe jest kontynuowanie szeroko zakrojonych operacji w celu wspierania działań propagandowych i hakerskich władz Federacji Rosyjskiej. 

Pod koniec lutego 2024 namierzono kampanie phishingowe podszywające się pod organizacje rządowe na terenie Argentyny, Ukrainy, Stanów Zjednoczonych i Polski. Przestępcy używają zarówno prawdziwych, publicznie dostępnych dokumentów, jak i spreparowanych przez siebie materiałów (rysunek 1), które odwołują się do tematów takich jak infrastruktura krytyczna czy bezpieczeństwo żeglugi międzynarodowej. Są to materiały “na czasie”, więc nie dziwne, że taka tematyka została wybrana przez grupę APT. 

X-Force zaobserwował wykorzystanie publicznych hostingów oraz subdomen wskazujących na archiwa danych takie jak “docs” czy “files” do serwowania złośliwych plików. Takie same techniki wykorzystywane były do rozsyłania malware o nazwie Headlace, w czasie konfliktu w Palestynie. APT28 wykorzystuje protokół search-ms oraz serwery WebDAV do dostarczenia malware na komputer ofiary (rysunek 2). 

Otwierając otrzymany załącznik, ofiara widzi dokument z zamazaną treścią oraz przyciskiem mającym rzekomo wyświetlić wyraźnie zawartość pliku. Po kliknięciu ofiara wykonuje zapytanie do serwera WebDAV atakujących z wykorzystaniem protokołu search-ms, który umożliwia używanie parametrów w wyszukiwaniach lokalnych oraz na zdalnych zasobach (rysunek 3).

Z perspektywy ofiary widać otwarcie nowego okna Eksploratora Plików, z widokiem spreparowanym przez atakujących przy pomocy pliku XML hostowanego na kontrolowanym przez nich serwerze. W momencie gdy ofiara kliknie na skrót (plik .LNK), na jej komputerze zostanie wykonana poniższa komenda wykorzystująca powershella do uruchomienia skryptu w Pythonie. 

W efekcie ofiara ujrzy fałszywy dokument w przeglądarce (MS Edge), a w tle uruchomiony zostaje skrypt z wykorzystaniem zdalnie hostowanego interpretera. Badania przeprowadzone przez X-Force wskazują, że wcześniej infrastruktura atakujących wykorzystywała przejęte urządzenia sieciowe Ubiquity. Zostały one jednak jakiś czas temu unieszkodliwione poprzez realizację nakazu Departamentu Sprawiedliwości., które jakiś czas temu Departament Sprawiedliwości “popsuł” realizując sądowy nakaz. O podobnej operacji przeprowadzonej przez FBI pisaliśmy niedawno. 

Jednym z celów atakujących, tak jak w poprzednich kampaniach jest kradzież hashy NTLMv2 w celu ich późniejszego złamania lub wykonania ataku NTLM relay. W jaki sposób łamać hashe również możecie przeczytać w naszym artykule.

Atakujący wykorzystują publicznie dostępne serwisy takie jak webhook.site w celu śledzenia kolejnych ruchów ofiary. Webhook.site to narzędzie, które pozwala użytkownikom na łatwe testowanie i debugowanie webhooków i innych typów żądań HTTP poprzez dostarczanie tymczasowego, unikalnego URL-a. Kiedy ten URL otrzymuje żądanie (na przykład POST, GET), webhook.site przechwytuje je i wyświetla jego szczegóły w czasie rzeczywistym, umożliwiając użytkownikom inspekcję zawartości żądania, takiej jak nagłówki, treść i parametry. Wykonanie żądania pod adres webhooka spowoduje zalogowanie tego faktu po stronie serwera (rysunek 4). 

Jest to bardzo przydatne narzędzie między innymi dla deweloperów czy też pentesterów, którzy chcieliby sprawdzić ataki typu blind z możliwością wykonania zapytania do zewnętrznego serwisu tzw. OOB (out-of-bound). Przestępcy jednak wykorzystują ten serwis do swoich niecnych celów wykradania wszelkich informacji.

Oprócz śledzenia kroków kampanii, przez które przechodzą ofiary, atakujący próbują uruchomić backdoora o nazwie MASEPIE. Jego zadaniem jest kontakt z serwerem C2 (po TCP) oraz wykonywanie zleconych komend. Komunikacja z serwerem kontrolującym działanie malware jest szyfrowana z wykorzystaniem AES-a.

Oprócz tego atakujący w swoim arsenale wykorzystują też inne narzędzia. Jedno o nazwie OCEANMAP. Komunikuje się ono z serwerem C2 przy pomocy protokołu IMAP. Operatorzy zostawiają komendy w katalogu “szkiców”, co jest bardzo ciekawym pomysłem. Oprócz tego wykorzystywane są narzędzia służące do wykradania danych z przeglądarek internetowych o nazwie STEELHOOK/IRONJAW. Dodatkowo wykorzystują arsenał świeżych podatności, m.in. CVE-2024-21413, CVE-2024-21410, CVE-2023-23397, CVE-2023-35636

Szeroki wachlarz narzędzi i technik powoduje, że można przypuszczać nastawienie atakujących na działanie o charakterze szpiegowskim. CERT-UA raportuje, że działalność APT28 nie sprowadza się tylko do uruchomienia backdoorów. Grupa dokonuje też prób aktywnej eksploitacji, w tym ataków na kontrolery domen. Dzieje się to już w ciągu pierwszych godzin po pierwszej fazie ataku spear-phishingowego. 

X-Force opublikował szeroką gamę technicznych wskazówek i działań mających na celu zabezpieczenie organizacji przed nowymi działaniami grupy APT28, serdecznie polecamy zapoznać się z tą checklistą.

~fc & tt