Η Amazon έχει κατασχέσει τομείς που χρησιμοποιούνται από τη ρωσική ομάδα hacking APT29 σε στοχευμένες επιθέσεις εναντίον κυβερνητικών και στρατιωτικών οργανισμών για την κλοπή διαπιστευτηρίων και δεδομένων των Windows χρησιμοποιώντας κακόβουλα αρχεία σύνδεσης με το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας.
Το APT29, γνωστό και ως “Cozy Bear” και “Midnight Blizzard”, είναι μια ρωσική κρατική ομάδα κυβερνοκατασκοπείας που συνδέεται με την Υπηρεσία Εξωτερικών Πληροφοριών της Ρωσίας (SVR).
Η Amazon διευκρινίζει ότι παρόλο που οι σελίδες phishing που χρησιμοποιήθηκαν APT29 έγιναν για να εμφανίζονται ως τομείς AWS, ούτε η Amazon ούτε τα διαπιστευτήρια για την πλατφόρμα cloud της ήταν οι άμεσοι στόχοι αυτών των επιθέσεων.
“Μερικά από τα ονόματα τομέα που χρησιμοποίησαν προσπάθησαν να εξαπατήσουν τους στόχους ώστε να πιστέψουν ότι οι τομείς ήταν τομείς AWS (δεν ήταν), αλλά η Amazon δεν ήταν ο στόχος, ούτε η ομάδα μετά τα διαπιστευτήρια πελατών AWS.” γράφει η ανακοίνωση.
“Μάλλον, η APT29 αναζήτησε τα διαπιστευτήρια των Windows των στόχων της μέσω της Απομακρυσμένης επιφάνειας εργασίας της Microsoft.”
“Με την εκμάθηση αυτής της δραστηριότητας, ξεκινήσαμε αμέσως τη διαδικασία κατάσχεσης των τομέων που καταχρώνε το APT29, οι οποίοι μιμούνται το AWS προκειμένου να διακόψουμε τη λειτουργία.”
Οι παράγοντες της απειλής είναι γνωστοί για εξαιρετικά εξελιγμένες επιθέσεις που στοχεύουν κυβερνήσεις, δεξαμενές σκέψης και ερευνητικά ιδρύματα παγκοσμίως, χρησιμοποιώντας συχνά phishing και κακόβουλο λογισμικό για την κλοπή ευαίσθητων πληροφοριών.
Στόχευση οργανισμών σε όλο τον κόσμο
Αν και η πρόσφατη εκστρατεία του APT29 είχε σημαντικό αντίκτυπο στην Ουκρανία, όπου ανακαλύφθηκε για πρώτη φορά, ήταν ευρύ σε εύρος, στοχεύοντας πολλές χώρες που θεωρούνται Ρώσοι αντίπαλοι.
Η Amazon σημειώνει ότι στη συγκεκριμένη καμπάνια, το APT29 έστειλε μηνύματα ηλεκτρονικού ψαρέματος σε πολύ μεγαλύτερο αριθμό στόχων από ό,τι συνήθως, ακολουθώντας την αντίθετη προσέγγιση της τυπικής στρατηγικής «στενής στόχευσης».
Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) δημοσίευσε μια συμβουλευτική σχετικά με αυτά τα συνημμένα “Rogue RDP” για προειδοποίηση σχετικά με τη μαζική δραστηριότητα ηλεκτρονικού ταχυδρομείου, την οποία παρακολουθούν στο “UAC-0215”.
Τα μηνύματα χρησιμοποιούσαν το θέμα της αντιμετώπισης ζητημάτων «ενσωμάτωσης» με τις υπηρεσίες Amazon και Microsoft και την εφαρμογή μιας αρχιτεκτονικής κυβερνοασφάλειας «μηδενικής εμπιστοσύνης» (Zero Trust Architecture, ZTA).
Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιλάμβαναν αρχεία σύνδεσης RDP (Remote Desktop Protocol) με ονόματα όπως “Zero Trust Security Environment Compliance Check.rdp” που εκκινούσε αυτόματα τις συνδέσεις με κακόβουλους διακομιστές όταν άνοιγε.
Πηγή: BleepingComputer
Όπως φαίνεται από την εικόνα ενός από αυτά τα προφίλ σύνδεσης RDP παραπάνω, μοιράστηκαν όλους τους τοπικούς πόρους με τον διακομιστή RDP που ελέγχεται από τον εισβολέα, συμπεριλαμβανομένων:
- Τοπικοί δίσκοι και αρχεία
- Πόροι δικτύου
- Εκτυπωτές
- Θύρες COM
- Συσκευές ήχου
- Πρόχειρο
Επιπλέον, η UA-CERT λέει ότι μπορούν επίσης να χρησιμοποιηθούν για την εκτέλεση μη εξουσιοδοτημένων προγραμμάτων ή σεναρίων στη συσκευή που έχει παραβιαστεί.
Πηγή: CERT-UA
Ενώ η Amazon λέει ότι αυτή η καμπάνια χρησιμοποιήθηκε για την κλοπή των διαπιστευτηρίων των Windows, καθώς οι τοπικοί πόροι του στόχου μοιράζονταν με τον διακομιστή RDP του εισβολέα, θα επέτρεπε επίσης στους παράγοντες της απειλής να κλέψουν δεδομένα απευθείας από τις κοινόχρηστες συσκευές.
Αυτό περιλαμβάνει όλα τα δεδομένα που είναι αποθηκευμένα στους σκληρούς δίσκους του στόχου, στο πρόχειρο των Windows και στα χαρτογραφημένα κοινόχρηστα στοιχεία δικτύου.
Η CERT-UA συνιστά τον έλεγχο των αρχείων καταγραφής αλληλεπίδρασης δικτύου για διευθύνσεις IP που μοιράζονται στην ενότητα IoC του ενημερωτικού δελτίου της για να ανιχνευθούν πιθανά σημάδια επιθέσεων ή παραβίασης.
Επιπλέον, συνιστώνται τα παρακάτω μέτρα για τη μείωση της επιφάνειας επίθεσης:
- Αποκλεισμός αρχείων .rdp στην πύλη αλληλογραφίας.
- Αποτρέψτε τους χρήστες από την εκκίνηση αρχείων ‘.rdp’ όταν δεν χρειάζονται.
- Διαμορφώστε τις ρυθμίσεις του τείχους προστασίας για να περιορίσετε τις συνδέσεις RDP από το πρόγραμμα mstsc.exe σε εξωτερικούς πόρους δικτύου.
- Διαμορφώστε τις πολιτικές ομάδας για να απενεργοποιήσετε την ανακατεύθυνση πόρων μέσω RDP (“Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας” -> “Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας” -> “Ανακατεύθυνση συσκευής και πόρων” -> “Να μην επιτρέπεται…”).
Το APT29 παραμένει μια από τις πιο ικανές απειλές στον κυβερνοχώρο της Ρωσίας, που πρόσφατα έγινε γνωστός για τη χρήση εκμεταλλεύσεων που διατίθενται μόνο σε προμηθευτές spyware.
Τον περασμένο χρόνο, αποκαλύφθηκε ότι οι παράγοντες της απειλής χάκαραν σημαντικούς προμηθευτές λογισμικού όπως η TeamViewer, η Microsoft και η Hewlett Packard Enterprise.
Οι δυτικές υπηρεσίες πληροφοριών προειδοποίησαν νωρίτερα αυτόν τον μήνα ότι η APT29 αξιοποιεί ελαττώματα των διακομιστών Zimbra και JetBrains TeamCity «μαζικά», για να παραβιάσει σημαντικούς οργανισμούς παγκοσμίως.
VIA: bleepingcomputer.com
