Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
В новой совместной рекомендации агентства кибербезопасности и разведки США и других стран призывают пользователей Ubiquiti EdgeRouter принять защитные меры через несколько недель после того, как ботнет, состоящий из зараженных маршрутизаторов, был уничтожен правоохранительными органами в рамках операции под кодовым названием Dying Ember.
Сообщается, что ботнет под названием MooBot использовался связанным с Россией субъектом угроз, известным как APT28, для содействия тайным кибероперациям и распространения пользовательского вредоносного ПО для последующей эксплуатации. Известно, что APT28, аффилированная с Главным управлением Генерального штаба России (ГРУ), активна как минимум с 2007 года.
Участники APT28 "использовали скомпрометированные EdgeRouters по всему миру для сбора учетных данных, сбора дайджестов NTLMv2, сетевого трафика прокси и размещения целевых страниц с фишингом и пользовательских инструментов", - сказали власти [PDF].
Использование EdgeRouters противником началось в 2022 году, когда атаки были нацелены на аэрокосмическую и оборонную сферы, образование, энергетику и коммунальные услуги, правительства, гостиничный бизнес, производство, нефть и газ, розничную торговлю, технологии и транспорт в Чешской Республике, Италии, Литве, Иордании, Черногории, Польше, Словакии, Турции, Украине, ОАЭ и США.
Атаки MooBot нацелены на маршрутизаторы с учетными данными по умолчанию или со слабыми учетными данными для развертывания троянов OpenSSH, при этом APT28 получает этот доступ для доставки bash-скрипта и других двоичных файлов ELF для сбора учетных данных, сетевого трафика прокси, размещения фишинговых страниц и других инструментов.
Сюда входят скрипты на Python для загрузки учетных данных, принадлежащих специально предназначенным пользователям веб-почты, которые собираются с помощью межсайтовых скриптов и фишинговых кампаний "браузер в браузере" (BitB).
APT28 также связан с использованием CVE-2023-23397 (оценка CVSS: 9,8), исправленной критической ошибки повышения привилегий в Microsoft Outlook, которая может привести к краже хэшей NT LAN Manager (NTLM) и проведению ретрансляционной атаки без какого-либо взаимодействия с пользователем.
Еще одним инструментом в арсенале вредоносного ПО APT28 является MASEPIE, бэкдор на Python, способный выполнять произвольные команды на компьютерах-жертвах, использующих скомпрометированные Ubiquiti EdgeRouters в качестве инфраструктуры командования и управления (C2).
"Имея root-доступ к скомпрометированным Ubiquiti EdgeRouters, участники APT28 имеют неограниченный доступ к операционным системам на базе Linux для установки инструментов и сокрытия своей личности при проведении вредоносных кампаний", - отметили агентства.
Организациям рекомендуется выполнить аппаратный сброс настроек маршрутизаторов, чтобы очистить файловые системы от вредоносных файлов, обновить до последней версии встроенного программного обеспечения, изменить учетные данные по умолчанию и внедрить правила брандмауэра для предотвращения доступа к службам удаленного управления.
Эти разоблачения являются признаком того, что хакеры национальных государств все чаще используют маршрутизаторы в качестве стартовой площадки для атак, используя их для создания ботнетов, таких как VPNFilter, Cyclops Blink и KV-botnet, и осуществления своей вредоносной деятельности.
Бюллетень выходит на следующий день после того, как Five Eyes nations обратилась к APT29 – группе угроз, связанной со Службой внешней разведки России (SVR), и организации, стоящей за атаками на SolarWinds, Microsoft и HPE, – за использование учетных записей служб и неактивных учетных записей для доступа к облачным средам в целевых организациях.
Сообщается, что ботнет под названием MooBot использовался связанным с Россией субъектом угроз, известным как APT28, для содействия тайным кибероперациям и распространения пользовательского вредоносного ПО для последующей эксплуатации. Известно, что APT28, аффилированная с Главным управлением Генерального штаба России (ГРУ), активна как минимум с 2007 года.
Участники APT28 "использовали скомпрометированные EdgeRouters по всему миру для сбора учетных данных, сбора дайджестов NTLMv2, сетевого трафика прокси и размещения целевых страниц с фишингом и пользовательских инструментов", - сказали власти [PDF].
Использование EdgeRouters противником началось в 2022 году, когда атаки были нацелены на аэрокосмическую и оборонную сферы, образование, энергетику и коммунальные услуги, правительства, гостиничный бизнес, производство, нефть и газ, розничную торговлю, технологии и транспорт в Чешской Республике, Италии, Литве, Иордании, Черногории, Польше, Словакии, Турции, Украине, ОАЭ и США.
Атаки MooBot нацелены на маршрутизаторы с учетными данными по умолчанию или со слабыми учетными данными для развертывания троянов OpenSSH, при этом APT28 получает этот доступ для доставки bash-скрипта и других двоичных файлов ELF для сбора учетных данных, сетевого трафика прокси, размещения фишинговых страниц и других инструментов.
Сюда входят скрипты на Python для загрузки учетных данных, принадлежащих специально предназначенным пользователям веб-почты, которые собираются с помощью межсайтовых скриптов и фишинговых кампаний "браузер в браузере" (BitB).
APT28 также связан с использованием CVE-2023-23397 (оценка CVSS: 9,8), исправленной критической ошибки повышения привилегий в Microsoft Outlook, которая может привести к краже хэшей NT LAN Manager (NTLM) и проведению ретрансляционной атаки без какого-либо взаимодействия с пользователем.
Еще одним инструментом в арсенале вредоносного ПО APT28 является MASEPIE, бэкдор на Python, способный выполнять произвольные команды на компьютерах-жертвах, использующих скомпрометированные Ubiquiti EdgeRouters в качестве инфраструктуры командования и управления (C2).
"Имея root-доступ к скомпрометированным Ubiquiti EdgeRouters, участники APT28 имеют неограниченный доступ к операционным системам на базе Linux для установки инструментов и сокрытия своей личности при проведении вредоносных кампаний", - отметили агентства.
Организациям рекомендуется выполнить аппаратный сброс настроек маршрутизаторов, чтобы очистить файловые системы от вредоносных файлов, обновить до последней версии встроенного программного обеспечения, изменить учетные данные по умолчанию и внедрить правила брандмауэра для предотвращения доступа к службам удаленного управления.
Эти разоблачения являются признаком того, что хакеры национальных государств все чаще используют маршрутизаторы в качестве стартовой площадки для атак, используя их для создания ботнетов, таких как VPNFilter, Cyclops Blink и KV-botnet, и осуществления своей вредоносной деятельности.
Бюллетень выходит на следующий день после того, как Five Eyes nations обратилась к APT29 – группе угроз, связанной со Службой внешней разведки России (SVR), и организации, стоящей за атаками на SolarWinds, Microsoft и HPE, – за использование учетных записей служб и неактивных учетных записей для доступа к облачным средам в целевых организациях.
