Облегчение кражи учетных данных с Ubiquiti

APT28 ‎размещали‏ ‎скрипты ‎Python ‎на ‎скомпрометированных ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎сбора‏ ‎и ‎проверки ‎украденных‏ ‎учётных ‎данных‏ ‎учётной ‎записи ‎веб-почты. ‎Эти‏ ‎сценарии‏ ‎обычно ‎хранятся‏ ‎вместе ‎со‏ ‎связанными ‎файлами ‎журналов ‎в ‎домашнем‏ ‎каталоге‏ ‎скомпрометированного ‎пользователя,‏ ‎например:

📌 /home/<compromised ‎user>/srv/http://core.py

📌 /home/<compromised‏ ‎user>/srv/debug.txt

ФБР ‎заявило ‎о ‎восстановлении ‎подробных‏ ‎файлов‏ ‎журналов,‏ ‎содержащие ‎информацию‏ ‎об ‎активности‏ ‎APT28 ‎на‏ ‎скомпрометированных‏ ‎EdgeRouters.

Пользовательские ‎скрипты‏ ‎на ‎Python

📌 Размещённые ‎крипты ‎Python ‎служат‏ ‎для ‎сбора‏ ‎и‏ ‎проверки ‎украденных ‎данных‏ ‎учётной ‎записи‏ ‎веб-почты. ‎APT28 ‎используют ‎эти‏ ‎скрипты‏ ‎как ‎часть‏ ‎своих ‎операций‏ ‎сбора ‎учётных ‎данных, ‎нацеленных ‎на‏ ‎конкретных‏ ‎пользователей ‎веб-почты.

📌 Скрипты‏ ‎предназначены ‎для‏ ‎автоматического ‎устранения ‎проблем ‎с ‎капчей‏ ‎на‏ ‎страницах‏ ‎входа ‎в‏ ‎веб-почту, ‎позволяя‏ ‎атакующим ‎обойти‏ ‎эту‏ ‎меру ‎безопасности‏ ‎и ‎получить ‎несанкционированный ‎доступ ‎к‏ ‎целевым ‎учётным‏ ‎записям.‏ ‎Чтобы ‎достичь ‎этого,‏ ‎скрипты ‎устанавливают‏ ‎соединения ‎с ‎API ‎endpoint‏ ‎api[.]anti-captcha[.]com,‏ ‎который ‎используется‏ ‎APT28 ‎для‏ ‎решения ‎проблем ‎с ‎капчей.

Yara-правила ‎для‏ ‎обнаружения

📌 Чтобы‏ ‎помочь ‎найти‏ ‎скрипты ‎сбора‏ ‎учётных ‎данных ‎на ‎скомпрометированных ‎EdgeRouters,‏ ‎ФБР‏ ‎разработало‏ ‎правило ‎Yara.‏ ‎Yara ‎—‏ ‎это ‎инструмент,‏ ‎используемый‏ ‎для ‎идентификации‏ ‎и ‎классификации ‎вредоносных ‎программ ‎на‏ ‎основе ‎текстовых‏ ‎или‏ ‎двоичных ‎шаблонов. ‎Предоставленное‏ ‎ФБР ‎правило‏ ‎Yara ‎можно ‎использовать ‎для‏ ‎сканирования‏ ‎файловой ‎системы‏ ‎EdgeRouters ‎и‏ ‎обнаружения ‎присутствия ‎скриптов ‎Python.

📌 Помимо ‎использования‏ ‎правила‏ ‎Yara, ‎можно‏ ‎также ‎запрашивать‏ ‎сетевой ‎трафик ‎на ‎предмет ‎подключений‏ ‎к‏ ‎api[.]anti-captcha[.]com‏ ‎endpoint. ‎Обнаружение‏ ‎трафика, ‎направленного‏ ‎к ‎этому‏ ‎API,‏ ‎может ‎помочь‏ ‎выявить ‎скомпрометированные ‎EdgeRouters ‎и ‎потенциальные‏ ‎действия ‎по‏ ‎сбору‏ ‎учётных ‎данных.

Смягчение ‎последствий

📌 При‏ ‎обнаружении ‎наличия‏ ‎скриптов ‎или ‎подключений ‎к‏ ‎api[.]anti-captcha[.]com‏ ‎endpoint ‎сетевые‏ ‎необходимо ‎предпринять‏ ‎немедленные ‎действия ‎для ‎снижения ‎риска‏ ‎и‏ ‎исследовать ‎степень‏ ‎компрометации. ‎Изоляция‏ ‎затронутых ‎маршрутизаторов ‎Edge ‎от ‎сети

📌 Выполнение‏ ‎тщательного‏ ‎анализа‏ ‎сценариев ‎и‏ ‎файлов ‎журналов‏ ‎для ‎понимания‏ ‎объема‏ ‎операций ‎по‏ ‎сбору ‎учётных ‎данных

📌 Сброс ‎паролей ‎для‏ ‎потенциально ‎скомпрометированных‏ ‎учётных‏ ‎записей ‎веб-почты