Атакующие обожают Ubiquiti. Союз, заключенный на небесах киберпространства

Операции ‎были‏ ‎нацелены ‎на ‎различные ‎отрасли, ‎включая‏ ‎аэрокосмическую ‎и‏ ‎оборонную,‏ ‎образование, ‎энергетику ‎и‏ ‎коммунальные ‎услуги,‏ ‎госсектор, ‎гостиничный ‎бизнес, ‎нефть‏ ‎и‏ ‎газ, ‎розничную‏ ‎торговлю, ‎технологии‏ ‎и ‎транспорт. ‎Целевые ‎страны ‎включают‏ ‎Чешскую‏ ‎Республику, ‎Италию,‏ ‎Литву, ‎Иорданию,‏ ‎Черногорию, ‎Польшу, ‎Словакию, ‎Турцию, ‎Объединённые‏ ‎Арабские‏ ‎Эмираты‏ ‎и ‎США

Потенциальные‏ ‎последствия ‎воздействия‏ ‎включают:

📌 Утечка ‎данных‏ ‎и‏ ‎кража ‎конфиденциальной‏ ‎информации, ‎интеллектуальной ‎собственности ‎или ‎коммерческой‏ ‎тайны.

📌 Нарушение ‎работы‏ ‎критически‏ ‎важных ‎объектов ‎инфраструктуры,‏ ‎таких ‎как‏ ‎электросети, ‎транспортные ‎системы ‎или‏ ‎производственные‏ ‎процессы.

📌 Компрометация ‎правительственных‏ ‎сетей ‎и‏ ‎систем, ‎потенциально ‎ведущая ‎к ‎шпионажу‏ ‎или‏ ‎угрозам ‎национальной‏ ‎безопасности.

📌 Финансовые ‎потери‏ ‎из-за ‎сбоев ‎в ‎работе, ‎кражи‏ ‎данных‏ ‎клиентов‏ ‎или ‎ущерба‏ ‎репутации.

📌 Потенциальные ‎риски‏ ‎для ‎безопасности‏ ‎в‏ ‎случае ‎взлома‏ ‎систем ‎управления ‎или ‎сетей ‎операционных‏ ‎технологий ‎(OT).

📌 Потеря‏ ‎доверия‏ ‎клиентов ‎и ‎доверия‏ ‎к ‎пострадавшим‏ ‎организациям.

TTPs ‎MITRE ‎ATT& ‎CK‏ ‎

Разработка:

📌 T1587‏ ‎(разработка): ‎создание‏ ‎пользовательских ‎Py-скриптов‏ ‎для ‎сбора ‎учётных ‎данных ‎в‏ ‎т.ч‏ ‎веб-почты.

📌 T1588 ‎(возможности‏ ‎получения): доступ ‎к‏ ‎EdgeRouters, ‎скомпрометированным ‎ботнетом ‎Moobot, ‎который‏ ‎устанавливает‏ ‎троянские‏ ‎программы ‎OpenSSH.

Первоначальный‏ ‎доступ:

📌 T1584 ‎(скомпрометированная‏ ‎инфраструктура): ‎доступ‏ ‎к‏ ‎EdgeRouters, ‎ранее‏ ‎скомпрометированным ‎троянцем ‎OpenSSH.

📌 T1566 ‎(фишинг): межсайтовые ‎скриптовые‏ ‎кампании ‎и‏ ‎фишинговые‏ ‎кампании ‎«браузер ‎в‏ ‎браузере».

Выполнение:

📌 T1203 ‎(Использование‏ ‎для ‎выполнения ‎клиентом): ‎использование‏ ‎уязвимости‏ ‎CVE-2023-23397.

Закрепление:

📌 T1546 ‎(выполнение,‏ ‎инициируемое ‎событием):‏ ‎На ‎скомпрометированных ‎маршрутизаторах ‎были ‎размещены‏ ‎скрипты‏ ‎Bash ‎и‏ ‎двоичные ‎файлы‏ ‎ELF, ‎предназначенные ‎для ‎бэкдора ‎демонов‏ ‎OpenSSH‏ ‎и‏ ‎связанных ‎с‏ ‎ними ‎служб.

Доступ‏ ‎с ‎учётными‏ ‎данными:

📌 T1557‏ ‎(Злоумышленник ‎посередине):‏ ‎инструменты ‎Impacket ‎http://ntlmrelayx.py и ‎Responder, ‎на‏ ‎скомпрометированные ‎маршрутизаторы‏ ‎для‏ ‎выполнения ‎ретрансляционных ‎атак‏ ‎NTLM.

📌 T1556 ‎(Изменение‏ ‎процесса ‎аутентификации): поддельные ‎серверы ‎аутентификации-NTLMv2‏ ‎для‏ ‎изменения ‎процесса‏ ‎аутентификации ‎с‏ ‎использованием ‎и ‎передачей ‎украденных ‎учётных‏ ‎данных.

Сбор‏ ‎данных:

📌 T1119 ‎(автоматический‏ ‎сбор): ‎APT28‏ ‎использовал ‎CVE-2023-23397 ‎для ‎автоматизации ‎сбора‏ ‎хэшей‏ ‎NTLMv2.

Эксфильтрация‏ ‎данных:

📌 T1020 ‎(автоматизированная‏ ‎эксфильтрация): ‎использование‏ ‎CVE-2023-23397 ‎для‏ ‎автоматизации‏ ‎эксфильтрации ‎данных‏ ‎в ‎подконтрольную ‎инфраструктуру.