logo
Overkill Security  Because Nothing Says 'Security' Like a Dozen Firewalls and a Biometric Scanner
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
A blog about all things techy! Not too much hype, just a lot of cool analysis and insight from different sources.

📌Not sure what level is suitable for you? Check this explanation https://sponsr.ru/overkill_security/55291/Paid_Content/

All places to read, listen and watch content:
➡️Text and other media: TG, Boosty, Teletype.in, VK, X.com
➡️Audio: Mave, you find here other podcast services, e.g. Youtube Podcasts, Spotify, Apple or Amazon
➡️Video: Youtube

The main categories of materials — use tags:
📌news
📌digest

QA — directly or via email overkill_qa@outlook.com
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Your donation fuels our mission to provide cutting-edge cybersecurity research, in-depth tutorials, and expert insights. Support our work today to empower the community with even more valuable content.

*no refund, no paid content

Помочь проекту
Promo 750₽ месяц
Доступны сообщения

For a limited time, we're offering our Level "Regular" subscription at an unbeatable price—50% off!

Dive into the latest trends and updates in the cybersecurity world with our in-depth articles and expert insights

Offer valid until the end of this month.

Оформить подписку
Regular Reader 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security
Доступны сообщения

Ideal for regular readers who are interested in staying informed about the latest trends and updates in the cybersecurity world without.

Оформить подписку
Pro Reader 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security
Доступны сообщения

Designed for IT professionals, cybersecurity experts, and enthusiasts who seek deeper insights and more comprehensive resources. + Q&A

Оформить подписку
Фильтры
Обновления проекта
Поделиться
Метки
overkillsecurity 142 overkillsecuritypdf 52 news 47 keypoints 38 nsa 26 fbi 25 adapt tactics 11 Living Off the Land 11 LOTL 11 unpacking 10 vulnerability 9 cyber security 8 Digest 8 edge routers 8 Essential Eight Maturity Model 8 malware 8 Maturity Model 8 Monthly Digest 8 research 8 ubiquiti 8 IoT 7 lolbin 7 lolbins 7 Cyber Attacks 6 phishing 6 Forensics 5 Ransomware 5 soho 5 authToken 4 BYOD 4 MDM 4 OAuth 4 Energy Consumption 3 IoMT 3 medical 3 ai 2 AnonSudan 2 authentication 2 av 2 battery 2 Buffer Overflow 2 console architecture 2 cve 2 cybersecurity 2 energy 2 Google 2 incident response 2 MITM 2 mqtt 2 Passkeys 2 Retro 2 Velociraptor 2 video 2 Vintage 2 vmware 2 windows 2 1981 1 5g network research 1 8-bit 1 Ad Removal 1 Ad-Free Experience 1 ADCS 1 advisory 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android15 1 announcement 1 antiPhishing 1 AntiPhishStack 1 antivirus 1 Apple 1 Atlassian 1 Attack 1 AttackGen 1 BatBadBut 1 Behavioral Analytics 1 BianLian 1 bias 1 Biocybersecurity 1 Biometric 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 botnet 1 Browser Data Theft 1 BucketLoot 1 CellularSecurity 1 checkpoint 1 china 1 chisel 1 cisa 1 CloudSecurity 1 CloudStorage 1 content 1 content category 1 cpu 1 Credential Dumping 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 cyber operations 1 Cyber Toufan Al-Aqsa 1 cyberops 1 D-Link 1 dark pink apt 1 data leakage 1 dcrat 1 Demoscene 1 DevSecOps 1 Dex 1 disassembler 1 DOS 1 e8mm 1 EDR 1 Embedded systems 1 Employee Training 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 Facebook 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 Firmware 1 Fortra's GoAnywhere MFT 1 france 1 FraudDetection 1 fuxnet 1 fuzzer 1 game console 1 gamification 1 GeminiNanoAI 1 genzai 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 IncidentResponse 1 Industrial Control Systems 1 jazzer 1 jetbrains 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 lg smart tv 1 lockbit 1 LSASS 1 m-trends 1 Machine Learning Integration 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 ML 1 mobile network analysis 1 mobileiron 1 nes 1 nexus 1 NGO 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 oracle 1 paid content 1 panos 1 Passwordless 1 Phishing Resilience 1 PingFederate 1 Platform Lock-in Tool 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 podcast 1 Privilege Escalation 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 qualcomm diag protocol 1 radio frame capture 1 Raytracing 1 Real-time Attack Detection 1 Red Team 1 Registry Modification 1 Risk Mitigation 1 RiskManagement 1 rodrigo copetti 1 rooted android devices 1 Router 1 rust 1 Sagemcom 1 sandworm 1 ScamCallDetection 1 security 1 Security Awareness 1 session hijacking 1 SharpADWS 1 SharpTerminator 1 shellcode 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 stack overflow 1 TA427 1 TA547 1 TDDP 1 telecom security 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 Think Tanks 1 Threat 1 threat intelligence 1 threat intelligence analysis 1 Threat Simulation 1 tool 1 toolkit 1 tp-link 1 UK 1 UserManagerEoP 1 uta0218 1 virtualbox 1 VPN 1 vu 1 wargame 1 Web Authentication 1 WebAuthn 1 webos 1 What2Log 1 Windows 11 1 Windows Kernel 1 Windstream 1 women 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZX Spectrum 1 Больше тегов
Читать: 2+ мин
logo Overkill Security

MASEPIE Malware. Because One Malware Isn't Enough

In ‎December‏ ‎2023, ‎APT28 ‎actors ‎developed ‎MASEPIE,‏ ‎a ‎small‏ ‎Python‏ ‎backdoor ‎capable ‎of‏ ‎executing ‎arbitrary‏ ‎commands ‎on ‎victim ‎machines.‏ ‎An‏ ‎FBI ‎investigation‏ ‎revealed ‎that‏ ‎on ‎more ‎than ‎one ‎occasion,‏ ‎APT28‏ ‎used ‎compromised‏ ‎Ubiquiti ‎EdgeRouters‏ ‎as ‎command-and-control ‎(C2) ‎infrastructure ‎for‏ ‎MASEPIE‏ ‎backdoors‏ ‎deployed ‎against‏ ‎targets.

Command-and-Control ‎Infrastructure

While‏ ‎APT28 ‎does‏ ‎not‏ ‎deploy ‎MASEPIE‏ ‎on ‎EdgeRouters ‎themselves, ‎the ‎compromised‏ ‎routers ‎have‏ ‎been‏ ‎used ‎as ‎C2‏ ‎infrastructure ‎to‏ ‎communicate ‎with ‎and ‎control‏ ‎MASEPIE‏ ‎backdoors ‎installed‏ ‎on ‎systems‏ ‎belonging ‎to ‎targeted ‎individuals ‎and‏ ‎organizations.

The‏ ‎data ‎sent‏ ‎to ‎and‏ ‎from ‎the ‎EdgeRouters ‎acting ‎as‏ ‎C2‏ ‎servers‏ ‎was ‎encrypted‏ ‎using ‎a‏ ‎randomly ‎generated‏ ‎16-character‏ ‎AES ‎key,‏ ‎making ‎it ‎more ‎difficult ‎to‏ ‎detect ‎and‏ ‎analyze‏ ‎the ‎malicious ‎traffic.

MASEPIE‏ ‎Backdoor ‎Functionality

MASEPIE‏ ‎is ‎a ‎Python-based ‎backdoor‏ ‎that‏ ‎allows ‎APT28‏ ‎actors ‎to‏ ‎execute ‎arbitrary ‎commands ‎on ‎the‏ ‎infected‏ ‎systems. ‎This‏ ‎backdoor ‎provides‏ ‎the ‎threat ‎actors ‎with ‎a‏ ‎persistent‏ ‎foothold‏ ‎and ‎remote‏ ‎control ‎capabilities,‏ ‎enabling ‎them‏ ‎to‏ ‎carry ‎out‏ ‎various ‎malicious ‎activities, ‎such ‎as:

Data‏ ‎exfiltration

📌 Lateral ‎movement‏ ‎within‏ ‎the ‎compromised ‎network

📌 Deployment‏ ‎of ‎additional‏ ‎malware ‎or ‎tools

📌 Execution ‎of‏ ‎reconnaissance‏ ‎and ‎intelligence-gathering‏ ‎commands

Mitigation ‎and‏ ‎Investigation

To ‎mitigate ‎the ‎risk ‎of‏ ‎MASEPIE‏ ‎backdoors ‎and‏ ‎the ‎use‏ ‎of ‎compromised ‎EdgeRouters ‎as ‎C2‏ ‎infrastructure,‏ ‎network‏ ‎defenders ‎and‏ ‎users ‎should‏ ‎take ‎the‏ ‎following‏ ‎steps:

📌 Implement ‎endpoint‏ ‎protection: ‎Deploy ‎advanced ‎endpoint ‎protection‏ ‎solutions ‎capable‏ ‎of‏ ‎detecting ‎and ‎preventing‏ ‎the ‎execution‏ ‎of ‎MASEPIE ‎and ‎other‏ ‎malicious‏ ‎Python ‎scripts‏ ‎or ‎backdoors.

📌 Monitor‏ ‎network ‎traffic: Closely ‎monitor ‎network ‎traffic‏ ‎for‏ ‎any ‎suspicious‏ ‎encrypted ‎communications‏ ‎or ‎connections ‎to ‎known ‎APT28‏ ‎infrastructure,‏ ‎including‏ ‎compromised ‎EdgeRouters.

📌 Analyze‏ ‎network ‎logs:‏ ‎Review ‎network‏ ‎logs‏ ‎for ‎any‏ ‎indications ‎of ‎encrypted ‎communications ‎or‏ ‎connections ‎to‏ ‎EdgeRouters‏ ‎that ‎may ‎be‏ ‎acting ‎as‏ ‎C2 ‎servers.

Читать: 1+ мин
logo Overkill Security

Proxy and Tunnel. Ubiquiti's Unofficial Features

APT28 ‎actors‏ ‎have ‎been ‎using ‎compromised ‎Ubiquiti‏ ‎EdgeRouters ‎to‏ ‎establish‏ ‎proxy ‎connections ‎and‏ ‎reverse ‎SSH‏ ‎tunnels ‎to ‎their ‎dedicated‏ ‎infrastructure.‏ ‎This ‎allows‏ ‎them ‎to‏ ‎maintain ‎persistent ‎access ‎and ‎control‏ ‎over‏ ‎the ‎compromised‏ ‎devices, ‎even‏ ‎after ‎password ‎changes ‎or ‎other‏ ‎mitigation‏ ‎attempts.

Reverse‏ ‎Proxy ‎Connections

APT28‏ ‎actors ‎have‏ ‎utilized ‎iptables‏ ‎rules‏ ‎on ‎EdgeRouters‏ ‎to ‎establish ‎reverse ‎proxy ‎connections‏ ‎to ‎their‏ ‎dedicated‏ ‎infrastructure. ‎Network ‎defenders‏ ‎and ‎users‏ ‎can ‎review ‎iptables ‎chains‏ ‎and‏ ‎Bash ‎histories‏ ‎on ‎EdgeRouters‏ ‎for ‎unusual ‎invocations, ‎such ‎as‏ ‎the‏ ‎following ‎example:

iptables‏ ‎-t ‎nat‏ ‎-I ‎PREROUTING ‎-d ‎<router ‎IP‏ ‎address>‏ ‎-p‏ ‎tcp ‎-m‏ ‎tcp ‎--dport‏ ‎4443 ‎-j‏ ‎DNAT‏ ‎-to-destination ‎<APT28‏ ‎dedicated ‎infrastructure>:10081

This ‎iptables ‎rule ‎redirects‏ ‎incoming ‎traffic‏ ‎on‏ ‎port ‎4443 ‎of‏ ‎the ‎EdgeRouter‏ ‎to ‎the ‎APT28 ‎dedicated‏ ‎infrastructure‏ ‎on ‎port‏ ‎10081, ‎effectively‏ ‎creating ‎a ‎reverse ‎proxy ‎connection.

Reverse‏ ‎SSH‏ ‎Tunnels

Additionally, ‎APT28‏ ‎actors ‎have‏ ‎uploaded ‎adversary ‎controlled ‎SSH ‎RSA‏ ‎keys‏ ‎to‏ ‎compromised ‎EdgeRouters‏ ‎to ‎establish‏ ‎reverse ‎SSH‏ ‎tunnels.‏ ‎These ‎tunnels‏ ‎allow ‎the ‎actors ‎to ‎access‏ ‎the ‎compromised‏ ‎devices,‏ ‎even ‎after ‎password‏ ‎changes ‎or‏ ‎other ‎mitigation ‎attempts.

Network ‎defenders‏ ‎and‏ ‎users ‎can‏ ‎review ‎the‏ ‎following ‎directories ‎on ‎EdgeRouters ‎for‏ ‎unknown‏ ‎RSA ‎keys:

/root/.ssh/

/home/<user>/.ssh/

The‏ ‎presence ‎of‏ ‎unknown ‎RSA ‎keys ‎in ‎these‏ ‎directories‏ ‎may‏ ‎indicate ‎that‏ ‎adversaries ‎have‏ ‎used ‎them‏ ‎to‏ ‎access ‎the‏ ‎EdgeRouters, ‎bypassing ‎password ‎authentication.

Furthermore, ‎network‏ ‎defenders ‎can‏ ‎query‏ ‎network ‎traffic ‎logs‏ ‎on ‎EdgeRouters‏ ‎to ‎identify ‎abnormal ‎SSH‏ ‎sessions.‏ ‎An ‎invocation‏ ‎of ‎a‏ ‎reverse ‎SSH ‎tunnel ‎used ‎by‏ ‎APT28‏ ‎actors ‎is‏ ‎provided ‎below:

ssh‏ ‎–i ‎<RSA ‎key> ‎-p ‎<port>‏ ‎root@<router‏ ‎IP‏ ‎address> ‎-R‏ ‎<router ‎IP‏ ‎address>:<port>

This ‎command‏ ‎establishes‏ ‎a ‎reverse‏ ‎SSH ‎tunnel ‎from ‎the ‎EdgeRouter‏ ‎to ‎the‏ ‎APT28‏ ‎infrastructure, ‎allowing ‎the‏ ‎actors ‎to‏ ‎maintain ‎remote ‎access ‎and‏ ‎control‏ ‎over ‎the‏ ‎compromised ‎device.

Читать: 2+ мин
logo Overkill Security

CVE-2023-23397. The Exploit That Keeps on Exploiting

APT28 ‎actors‏ ‎have ‎been ‎exploiting ‎CVE-2023-23397, ‎a‏ ‎critical ‎elevation‏ ‎of‏ ‎privilege ‎vulnerability ‎in‏ ‎Microsoft ‎Outlook‏ ‎on ‎Windows, ‎to ‎facilitate‏ ‎NTLMv2‏ ‎credential ‎leaks.‏ ‎This ‎vulnerability,‏ ‎which ‎was ‎a ‎zero-day ‎at‏ ‎the‏ ‎time ‎of‏ ‎its ‎initial‏ ‎exploitation ‎by ‎APT28 ‎in ‎early‏ ‎2022,‏ ‎allows‏ ‎Net-NTLMv2 ‎hashes‏ ‎to ‎be‏ ‎leaked ‎to‏ ‎actor-controlled‏ ‎infrastructure.

NTLMv2 ‎Credential‏ ‎Harvesting

To ‎exploit ‎CVE-2023-23397 ‎and ‎harvest‏ ‎NTLMv2 ‎credentials,‏ ‎APT28‏ ‎actors ‎have ‎been‏ ‎using ‎two‏ ‎publicly ‎available ‎tools:

📌 http://ntlmrelayx.py: This ‎tool‏ ‎is‏ ‎part ‎of‏ ‎the ‎Impacket‏ ‎suite, ‎a ‎collection ‎of ‎Python‏ ‎classes‏ ‎for ‎working‏ ‎with ‎network‏ ‎protocols. ‎APT28 ‎actors ‎have ‎used‏ ‎http://ntlmrelayx.py to‏ ‎execute‏ ‎NTLM ‎relay‏ ‎attacks ‎[T1557]‏ ‎and ‎facilitate‏ ‎the‏ ‎leakage ‎of‏ ‎NTLMv2 ‎credentials.

📌 Responder: ‎Responder ‎is ‎a‏ ‎tool ‎designed‏ ‎to‏ ‎capture ‎and ‎relay‏ ‎NTLMv2 ‎hashes‏ ‎by ‎setting ‎up ‎a‏ ‎rogue‏ ‎authentication ‎server‏ ‎[T1556]. ‎APT28‏ ‎actors ‎have ‎installed ‎Responder ‎on‏ ‎compromised‏ ‎Ubiquiti ‎EdgeRouters‏ ‎to ‎collect‏ ‎NTLMv2 ‎credentials ‎from ‎targeted ‎Outlook‏ ‎accounts.

The‏ ‎FBI‏ ‎has ‎collected‏ ‎evidence ‎of‏ ‎APT28's ‎CVE-2023-23397‏ ‎exploitation‏ ‎activity ‎on‏ ‎numerous ‎compromised ‎EdgeRouters.

Logging ‎and ‎Detection

📌 When‏ ‎using ‎the‏ ‎default‏ ‎configurations, ‎Responder ‎logs‏ ‎its ‎activity‏ ‎to ‎the ‎following ‎files:

📌 Responder-Session.log

📌 Responder.db

Network‏ ‎defenders‏ ‎and ‎users‏ ‎can ‎search‏ ‎for ‎these ‎log ‎files, ‎as‏ ‎well‏ ‎as ‎the‏ ‎presence ‎of‏ ‎http://ntlmrelayx.py and ‎Responder ‎tooling, ‎on ‎EdgeRouters‏ ‎to‏ ‎identify‏ ‎potential ‎APT28‏ ‎activity ‎related‏ ‎to ‎the‏ ‎exploitation‏ ‎of ‎CVE-2023-23397.

Mitigation‏ ‎and ‎Investigation

To ‎mitigate ‎the ‎risk‏ ‎of ‎CVE-2023-23397‏ ‎exploitation‏ ‎and ‎NTLMv2 ‎credential‏ ‎leaks, ‎network‏ ‎defenders ‎and ‎users ‎should‏ ‎take‏ ‎the ‎following‏ ‎steps:

📌 Apply ‎the‏ ‎Microsoft ‎patch: Microsoft ‎has ‎released ‎a‏ ‎patch‏ ‎to ‎address‏ ‎CVE-2023-23397. ‎Ensure‏ ‎that ‎all ‎Outlook ‎installations ‎are‏ ‎updated‏ ‎with‏ ‎the ‎latest‏ ‎security ‎updates.

📌 Scan‏ ‎for ‎compromised‏ ‎EdgeRouters:‏ ‎Use ‎the‏ ‎provided ‎information ‎to ‎scan ‎EdgeRouters‏ ‎for ‎the‏ ‎presence‏ ‎of ‎http://ntlmrelayx.py, Responder, ‎and‏ ‎their ‎associated‏ ‎log ‎files. ‎Identify ‎and‏ ‎isolate‏ ‎any ‎compromised‏ ‎routers ‎for‏ ‎further ‎investigation.

📌 Reset ‎compromised ‎credentials: ‎If‏ ‎NTLMv2‏ ‎credential ‎leaks‏ ‎are ‎detected,‏ ‎reset ‎the ‎affected ‎user ‎accounts‏ ‎and‏ ‎implement‏ ‎additional ‎security‏ ‎measures, ‎such‏ ‎as ‎multi-factor‏ ‎authentication.

📌 Implement‏ ‎recommended ‎mitigation:‏ ‎Follow ‎the ‎recommended ‎mitigation ‎for‏ ‎compromised ‎EdgeRouters‏ ‎,‏ ‎including ‎performing ‎a‏ ‎hardware ‎factory‏ ‎reset, ‎upgrading ‎to ‎the‏ ‎latest‏ ‎firmware ‎version,‏ ‎and ‎changing‏ ‎default ‎usernames ‎and ‎passwords.

Читать: 2+ мин
logo Overkill Security

Making Credential Theft Easier Since... Always

APT28 ‎actors‏ ‎have ‎been ‎hosting ‎custom ‎Python‏ ‎scripts ‎on‏ ‎compromised‏ ‎Ubiquiti ‎EdgeRouters ‎to‏ ‎collect ‎and‏ ‎validate ‎stolen ‎webmail ‎account‏ ‎credentials.‏ ‎These ‎scripts‏ ‎are ‎typically‏ ‎stored ‎alongside ‎related ‎log ‎files‏ ‎in‏ ‎the ‎home‏ ‎directory ‎of‏ ‎a ‎compromised ‎user, ‎such ‎as:

/home/<compromised‏ ‎user>/srv/http://core.py

/home/<compromised‏ ‎user>/srv/debug.txt

The‏ ‎FBI ‎claims‏ ‎that ‎they‏ ‎have ‎recovered‏ ‎verbose‏ ‎log ‎files‏ ‎containing ‎information ‎about ‎APT28 ‎activity‏ ‎on ‎the‏ ‎compromised‏ ‎EdgeRouters.


Custom ‎Python ‎Scripts

📌 The‏ ‎custom ‎Python‏ ‎scripts ‎hosted ‎on ‎the‏ ‎compromised‏ ‎EdgeRouters ‎serve‏ ‎the ‎purpose‏ ‎of ‎collecting ‎and ‎validating ‎stolen‏ ‎webmail‏ ‎account ‎credentials.‏ ‎APT28 ‎actors‏ ‎use ‎these ‎scripts ‎as ‎part‏ ‎of‏ ‎their‏ ‎credential ‎harvesting‏ ‎operations, ‎targeting‏ ‎specific ‎webmail‏ ‎users.

📌 The‏ ‎scripts ‎are‏ ‎designed ‎to ‎automatically ‎break ‎captcha‏ ‎problems ‎on‏ ‎webmail‏ ‎login ‎pages, ‎allowing‏ ‎the ‎actors‏ ‎to ‎bypass ‎this ‎security‏ ‎measure‏ ‎and ‎gain‏ ‎unauthorized ‎access‏ ‎to ‎the ‎targeted ‎accounts. ‎To‏ ‎achieve‏ ‎this, ‎the‏ ‎scripts ‎make‏ ‎connections ‎to ‎the ‎API ‎endpoint‏ ‎api[.]anti-captcha[.]com,‏ ‎which‏ ‎is ‎used‏ ‎by ‎APT28‏ ‎actors ‎for‏ ‎captcha-solving‏ ‎purposes.


Yara ‎Rule‏ ‎for ‎Detection

📌 To ‎help ‎network ‎defenders‏ ‎locate ‎credential‏ ‎collection‏ ‎scripts ‎on ‎compromised‏ ‎EdgeRouters, ‎the‏ ‎FBI ‎has ‎created ‎a‏ ‎Yara‏ ‎rule. ‎Yara‏ ‎is ‎a‏ ‎tool ‎used ‎to ‎identify ‎and‏ ‎classify‏ ‎malware ‎based‏ ‎on ‎textual‏ ‎or ‎binary ‎patterns. ‎The ‎FBI-provided‏ ‎Yara‏ ‎rule‏ ‎can ‎be‏ ‎used ‎to‏ ‎scan ‎the‏ ‎file‏ ‎system ‎of‏ ‎EdgeRouters ‎and ‎detect ‎the ‎presence‏ ‎of ‎the‏ ‎custom‏ ‎Python ‎scripts ‎used‏ ‎by ‎APT28‏ ‎actors.

📌 In ‎addition ‎to ‎using‏ ‎the‏ ‎Yara ‎rule,‏ ‎network ‎defenders‏ ‎can ‎also ‎query ‎network ‎traffic‏ ‎for‏ ‎connections ‎to‏ ‎the ‎api[.]anti-captcha[.]com‏ ‎endpoint. ‎Detecting ‎traffic ‎to ‎this‏ ‎API‏ ‎can‏ ‎help ‎identify‏ ‎compromised ‎EdgeRouters‏ ‎and ‎potential‏ ‎credential‏ ‎harvesting ‎activities.


Mitigation‏ ‎and ‎Investigation

📌 Upon ‎detecting ‎the ‎presence‏ ‎of ‎custom‏ ‎Python‏ ‎scripts ‎or ‎connections‏ ‎to ‎the‏ ‎api[.]anti-captcha[.]com ‎endpoint, ‎network ‎defenders‏ ‎should‏ ‎take ‎immediate‏ ‎action ‎to‏ ‎mitigate ‎the ‎risk ‎and ‎investigate‏ ‎the‏ ‎extent ‎of‏ ‎the ‎compromise:

📌 Isolating‏ ‎the ‎affected ‎EdgeRouters ‎from ‎the‏ ‎network

📌 Performing‏ ‎a‏ ‎thorough ‎analysis‏ ‎of ‎the‏ ‎scripts ‎and‏ ‎log‏ ‎files ‎to‏ ‎understand ‎the ‎scope ‎of ‎the‏ ‎credential ‎harvesting‏ ‎activities

📌 Resetting‏ ‎passwords ‎for ‎potentially‏ ‎compromised ‎webmail‏ ‎accounts

Читать: 2+ мин
logo Overkill Security

Moobot Trojan. When Ubiquiti Router Becomes a Botnet's Best Friend

APT28 ‎actors‏ ‎have ‎been ‎leveraging ‎default ‎credentials‏ ‎and ‎trojanized‏ ‎OpenSSH‏ ‎server ‎processes ‎to‏ ‎access ‎Ubiquiti‏ ‎EdgeRouters. ‎The ‎trojanized ‎OpenSSH‏ ‎server‏ ‎processes ‎are‏ ‎associated ‎with‏ ‎Moobot, ‎a ‎Mirai-based ‎botnet ‎that‏ ‎infects‏ ‎Internet ‎of‏ ‎Things ‎(IoT)‏ ‎devices ‎using ‎remotely ‎exploitable ‎vulnerabilities,‏ ‎such‏ ‎as‏ ‎weak ‎or‏ ‎default ‎passwords.

Trojanized‏ ‎OpenSSH ‎Server‏ ‎Binaries

📌 Trojanized‏ ‎OpenSSH ‎server‏ ‎binaries ‎downloaded ‎from ‎packinstall[.]kozow[.]com ‎have‏ ‎replaced ‎legitimate‏ ‎binaries‏ ‎on ‎EdgeRouters ‎accessed‏ ‎by ‎APT28.‏ ‎These ‎trojanized ‎binaries ‎allow‏ ‎remote‏ ‎attackers ‎to‏ ‎bypass ‎authentication‏ ‎and ‎gain ‎unauthorized ‎access ‎to‏ ‎the‏ ‎compromised ‎routers.

📌 The‏ ‎Moobot ‎botnet‏ ‎is ‎known ‎for ‎its ‎ability‏ ‎to‏ ‎exploit‏ ‎vulnerabilities ‎in‏ ‎IoT ‎devices,‏ ‎particularly ‎those‏ ‎with‏ ‎weak ‎or‏ ‎default ‎passwords. ‎By ‎replacing ‎the‏ ‎legitimate ‎OpenSSH‏ ‎server‏ ‎binaries ‎with ‎trojanized‏ ‎versions, ‎APT28‏ ‎actors ‎can ‎maintain ‎persistent‏ ‎access‏ ‎to ‎the‏ ‎compromised ‎EdgeRouters‏ ‎and ‎use ‎them ‎for ‎various‏ ‎malicious‏ ‎purposes.

Mirai-based ‎Botnet

📌 Moobot‏ ‎is ‎a‏ ‎Mirai-based ‎botnet, ‎which ‎means ‎it‏ ‎is‏ ‎derived‏ ‎from ‎the‏ ‎infamous ‎Mirai‏ ‎malware ‎that‏ ‎first‏ ‎emerged ‎in‏ ‎2016. ‎Mirai ‎is ‎designed ‎to‏ ‎scan ‎for‏ ‎and‏ ‎infect ‎IoT ‎devices‏ ‎by ‎exploiting‏ ‎common ‎vulnerabilities ‎and ‎using‏ ‎default‏ ‎credentials. ‎Once‏ ‎a ‎device‏ ‎is ‎infected, ‎it ‎becomes ‎part‏ ‎of‏ ‎the ‎botnet‏ ‎and ‎can‏ ‎be ‎used ‎for ‎distributed ‎denial-of-service‏ ‎(DDoS)‏ ‎attacks,‏ ‎credential ‎stuffing,‏ ‎and ‎other‏ ‎malicious ‎activities.

📌 The‏ ‎use‏ ‎of ‎a‏ ‎Mirai-based ‎botnet ‎like ‎Moobot ‎highlights‏ ‎the ‎importance‏ ‎of‏ ‎securing ‎IoT ‎devices,‏ ‎such ‎as‏ ‎routers, ‎by ‎changing ‎default‏ ‎passwords‏ ‎and ‎keeping‏ ‎the ‎firmware‏ ‎up ‎to ‎date. ‎The ‎combination‏ ‎of‏ ‎weak ‎or‏ ‎default ‎passwords‏ ‎and ‎unpatched ‎vulnerabilities ‎makes ‎these‏ ‎devices‏ ‎an‏ ‎attractive ‎target‏ ‎for ‎threat‏ ‎actors ‎like‏ ‎APT28.

Impact‏ ‎on ‎Compromised‏ ‎EdgeRouters

With ‎the ‎trojanized ‎OpenSSH ‎server‏ ‎processes ‎in‏ ‎place,‏ ‎APT28 ‎actors ‎can‏ ‎maintain ‎persistent‏ ‎access ‎to ‎the ‎compromised‏ ‎EdgeRouters.‏ ‎This ‎allows‏ ‎them ‎to‏ ‎use ‎the ‎routers ‎as ‎a‏ ‎platform‏ ‎for ‎various‏ ‎malicious ‎activities,‏ ‎such ‎as:

📌 Harvesting ‎credentials

📌 Collecting ‎NTLMv2 ‎digests

📌 Proxying‏ ‎network‏ ‎traffic

📌 Hosting‏ ‎spear-phishing ‎landing‏ ‎pages ‎and‏ ‎custom ‎tools

Читать: 2+ мин
logo Overkill Security

Threat Actors Love Ubiquiti. A Match Made in Cyber Heaven

Threat ‎Actor's‏ ‎operations ‎have ‎targeted ‎various ‎industries,‏ ‎including ‎Aerospace‏ ‎&‏ ‎Defense, ‎Education, ‎Energy‏ ‎& ‎Utilities,‏ ‎Governments, ‎Hospitality, ‎Manufacturing, ‎Oil‏ ‎&‏ ‎Gas, ‎Retail,‏ ‎Technology, ‎and‏ ‎Transportation. ‎The ‎targeted ‎countries ‎include‏ ‎the‏ ‎Czech ‎Republic,‏ ‎Italy, ‎Lithuania,‏ ‎Jordan, ‎Montenegro, ‎Poland, ‎Slovakia, ‎Turkey,‏ ‎Ukraine,‏ ‎United‏ ‎Arab ‎Emirates,‏ ‎and ‎the‏ ‎US, ‎with‏ ‎a‏ ‎strategic ‎focus‏ ‎on ‎individuals ‎in ‎Ukraine.

Potential ‎consequences‏ ‎and ‎impacts‏ ‎on‏ ‎these ‎affected ‎industries‏ ‎include:

📌 Data ‎breaches‏ ‎and ‎theft ‎of ‎sensitive‏ ‎information,‏ ‎intellectual ‎property,‏ ‎or ‎trade‏ ‎secrets.

📌 Disruption ‎of ‎critical ‎infrastructure ‎operations,‏ ‎such‏ ‎as ‎power‏ ‎grids, ‎transportation‏ ‎systems, ‎or ‎manufacturing ‎processes.

📌 Compromise ‎of‏ ‎government‏ ‎networks‏ ‎and ‎systems,‏ ‎potentially ‎leading‏ ‎to ‎espionage‏ ‎or‏ ‎national ‎security‏ ‎threats.

📌 Financial ‎losses ‎due ‎to ‎operational‏ ‎disruptions, ‎theft‏ ‎of‏ ‎customer ‎data, ‎or‏ ‎reputational ‎damage.

📌 Potential‏ ‎safety ‎risks ‎if ‎control‏ ‎systems‏ ‎or ‎operational‏ ‎technology ‎(OT)‏ ‎networks ‎are ‎compromised.

📌 Loss ‎of ‎customer‏ ‎trust‏ ‎and ‎confidence‏ ‎in ‎the‏ ‎affected ‎organizations.

MITRE ‎ATT&CK ‎TTPs

Resource ‎Development:

T1587‏ ‎(Develop‏ ‎Capabilities): APT28‏ ‎authored ‎custom‏ ‎Python ‎scripts‏ ‎to ‎collect‏ ‎webmail‏ ‎account ‎credentials.

T1588‏ ‎(Obtain ‎Capabilities): ‎APT28 ‎accessed ‎EdgeRouters‏ ‎compromised ‎by‏ ‎the‏ ‎Moobot ‎botnet, ‎which‏ ‎installs ‎OpenSSH‏ ‎trojans.

Initial ‎Access:

T1584 ‎(Compromise ‎Infrastructure): APT28‏ ‎accessed‏ ‎EdgeRouters ‎previously‏ ‎compromised ‎by‏ ‎an ‎OpenSSH ‎trojan.

📌 T1566 ‎(Phishing): ‎APT28‏ ‎conducted‏ ‎cross-site ‎scripting‏ ‎and ‎browser-in-the-browser‏ ‎spear-phishing ‎campaigns.

Execution:

T1203 ‎(Exploitation ‎for ‎Client‏ ‎Execution):‏ ‎APT28‏ ‎exploited ‎the‏ ‎CVE-2023-23397 ‎vulnerability.

Persistence:

📌 T1546‏ ‎(Event ‎Triggered‏ ‎Execution):‏ ‎The ‎compromised‏ ‎routers ‎housed ‎Bash ‎scripts ‎and‏ ‎ELF ‎binaries‏ ‎designed‏ ‎to ‎backdoor ‎OpenSSH‏ ‎daemons ‎and‏ ‎related ‎services.

Credential ‎Access:

📌 T1557 ‎(Adversary-in-the-Middle):‏ ‎APT28‏ ‎installed ‎tools‏ ‎like ‎Impacket‏ ‎http://ntlmrelayx.py and ‎Responder ‎on ‎compromised ‎routers‏ ‎to‏ ‎execute ‎NTLM‏ ‎relay ‎attacks.

📌 T1556‏ ‎(Modify ‎Authentication ‎Process): ‎APT28 ‎hosted‏ ‎NTLMv2‏ ‎rogue‏ ‎authentication ‎servers‏ ‎to ‎modify‏ ‎the ‎authentication‏ ‎process‏ ‎using ‎stolen‏ ‎credentials ‎from ‎NTLM ‎relay ‎attacks.

Collection:

📌 T1119‏ ‎(Automated ‎Collection): APT28‏ ‎utilized‏ ‎CVE-2023-23397 ‎to ‎automate‏ ‎the ‎collection‏ ‎of ‎NTLMv2 ‎hashes.

Exfiltration:

📌 T1020 ‎(Automated‏ ‎Exfiltration): APT28‏ ‎utilized ‎CVE-2023-23397‏ ‎to ‎automate‏ ‎the ‎exfiltration ‎of ‎data ‎to‏ ‎actor-controlled‏ ‎infrastructure.


Читать: 3+ мин
logo Overkill Security

Ubiquiti: Where Security is Optional and keypoint is «change your password, seriously!»

The ‎document‏ ‎titled ‎«Cyber ‎Actors ‎Use ‎Compromised‏ ‎Routers ‎to‏ ‎Facilitate‏ ‎Cyber ‎Operations» ‎released‏ ‎by ‎the‏ ‎Federal ‎Bureau ‎of ‎Investigation‏ ‎(FBI),‏ ‎National ‎Security‏ ‎Agency ‎(NSA),‏ ‎US ‎Cyber ‎Command, ‎and ‎international‏ ‎partners‏ ‎warns ‎of‏ ‎use ‎of‏ ‎compromised ‎Ubiquiti ‎EdgeRouters ‎to ‎facilitate‏ ‎malicious‏ ‎cyber‏ ‎operations ‎worldwide.

The‏ ‎popularity ‎of‏ ‎Ubiquiti ‎EdgeRouters‏ ‎is‏ ‎attributed ‎to‏ ‎their ‎user-friendly, ‎Linux-based ‎operating ‎system,‏ ‎default ‎credentials,‏ ‎and‏ ‎limited ‎firewall ‎protections.‏ ‎The ‎routers‏ ‎are ‎often ‎shipped ‎with‏ ‎insecure‏ ‎default ‎configurations‏ ‎and ‎do‏ ‎not ‎automatically ‎update ‎firmware ‎unless‏ ‎configured‏ ‎by ‎the‏ ‎user.

The ‎compromised‏ ‎EdgeRouters ‎have ‎been ‎used ‎by‏ ‎APT28‏ ‎to‏ ‎harvest ‎credentials,‏ ‎collect ‎NTLMv2‏ ‎digests, ‎proxy‏ ‎network‏ ‎traffic, ‎and‏ ‎host ‎spear-phishing ‎landing ‎pages ‎and‏ ‎custom ‎tools.‏ ‎APT28‏ ‎accessed ‎the ‎routers‏ ‎using ‎default‏ ‎credentials ‎and ‎trojanized ‎OpenSSH‏ ‎server‏ ‎processes. ‎With‏ ‎root ‎access‏ ‎to ‎the ‎compromised ‎routers, ‎the‏ ‎actors‏ ‎had ‎unfettered‏ ‎access ‎to‏ ‎the ‎Linux-based ‎operating ‎systems ‎to‏ ‎install‏ ‎tooling‏ ‎and ‎obfuscate‏ ‎their ‎identity.

APT28‏ ‎also ‎deployed‏ ‎custom‏ ‎Python ‎scripts‏ ‎on ‎the ‎compromised ‎routers ‎to‏ ‎collect ‎and‏ ‎validate‏ ‎stolen ‎webmail ‎account‏ ‎credentials ‎obtained‏ ‎through ‎cross-site ‎scripting ‎and‏ ‎browser-in-the-browser‏ ‎spear-phishing ‎campaigns.‏ ‎Additionally, ‎they‏ ‎exploited ‎a ‎critical ‎zero-day ‎elevation-of-privilege‏ ‎vulnerability‏ ‎in ‎Microsoft‏ ‎Outlook ‎(CVE-2023-23397)‏ ‎to ‎collect ‎NTLMv2 ‎digests ‎from‏ ‎targeted‏ ‎Outlook‏ ‎accounts ‎and‏ ‎used ‎publicly‏ ‎available ‎tools‏ ‎to‏ ‎assist ‎with‏ ‎NTLM ‎relay ‎attacks

Keypoints ‎and ‎takeaways

📌 APT28‏ ‎(also ‎known‏ ‎as‏ ‎Fancy ‎Bear, ‎Forest‏ ‎Blizzard, ‎and‏ ‎Strontium) ‎have ‎been ‎exploiting‏ ‎compromised‏ ‎Ubiquiti ‎EdgeRouters‏ ‎to ‎conduct‏ ‎malicious ‎cyber ‎ops ‎globally.

📌 The ‎exploitation‏ ‎includes‏ ‎harvesting ‎credentials,‏ ‎collecting ‎NTLMv2‏ ‎digests, ‎proxying ‎network ‎traffic, ‎and‏ ‎hosting‏ ‎spear-phishing‏ ‎landing ‎pages‏ ‎and ‎custom‏ ‎tools.

📌 The ‎FBI,‏ ‎NSA,‏ ‎US ‎Cyber‏ ‎Command, ‎and ‎international ‎partners ‎have‏ ‎issued ‎a‏ ‎joint‏ ‎Cybersecurity ‎Advisory ‎(CSA)‏ ‎detailing ‎the‏ ‎threat ‎and ‎providing ‎mitigation‏ ‎recommendations.

📌 The‏ ‎advisory ‎includes‏ ‎observed ‎tactics,‏ ‎techniques, ‎and ‎procedures ‎(TTPs), ‎indicators‏ ‎of‏ ‎compromise ‎(IOCs),‏ ‎and ‎maps‏ ‎the ‎threat ‎actors' ‎activity ‎to‏ ‎the‏ ‎MITRE‏ ‎ATT& ‎CK‏ ‎framework.

📌 The ‎advisory‏ ‎urges ‎immediate‏ ‎action‏ ‎to ‎mitigate‏ ‎the ‎threat, ‎including ‎performing ‎hardware‏ ‎factory ‎resets,‏ ‎updating‏ ‎firmware, ‎changing ‎default‏ ‎credentials, ‎and‏ ‎implementing ‎strategic ‎firewall ‎rules.

📌 APT28‏ ‎has‏ ‎used ‎compromised‏ ‎EdgeRouters ‎since‏ ‎at ‎least ‎2022 ‎to ‎facilitate‏ ‎covert‏ ‎operations ‎against‏ ‎various ‎industries‏ ‎and ‎countries, ‎including ‎the ‎US.

📌 The‏ ‎EdgeRouters‏ ‎are‏ ‎popular ‎due‏ ‎to ‎their‏ ‎user-friendly ‎Linux-based‏ ‎operating‏ ‎system ‎but‏ ‎are ‎often ‎shipped ‎with ‎default‏ ‎credentials ‎and‏ ‎limited‏ ‎firewall ‎protections.

📌 The ‎advisory‏ ‎provides ‎detailed‏ ‎TTPs ‎and ‎IOCs ‎to‏ ‎help‏ ‎network ‎defenders‏ ‎identify ‎and‏ ‎mitigate ‎the ‎threat.

📌 The ‎advisory ‎also‏ ‎includes‏ ‎information ‎on‏ ‎how ‎to‏ ‎map ‎malicious ‎cyber ‎activity ‎to‏ ‎the‏ ‎MITRE‏ ‎ATT& ‎CK‏ ‎framework.

📌 Organizations ‎using‏ ‎Ubiquiti ‎EdgeRouters‏ ‎must‏ ‎take ‎immediate‏ ‎action ‎to ‎secure ‎their ‎devices‏ ‎against ‎APT28‏ ‎exploitation.

📌 The‏ ‎recommended ‎actions ‎include‏ ‎resetting ‎hardware‏ ‎to ‎factory ‎settings, ‎updating‏ ‎to‏ ‎the ‎latest‏ ‎firmware, ‎changing‏ ‎default ‎usernames ‎and ‎passwords, ‎and‏ ‎implementing‏ ‎strategic ‎firewall‏ ‎rules.

📌 Network ‎defenders‏ ‎should ‎be ‎aware ‎of ‎the‏ ‎TTPs‏ ‎and‏ ‎IOCs ‎provided‏ ‎in ‎the‏ ‎advisory ‎to‏ ‎detect‏ ‎and ‎respond‏ ‎to ‎potential ‎compromises.

Читать: 3+ мин
logo Overkill Security

NSA’s panic. Ubiquiti

The ‎FBI,‏ ‎NSA, ‎and ‎their ‎international ‎pals‏ ‎have ‎graced‏ ‎us‏ ‎with ‎yet ‎another‏ ‎Cybersecurity ‎Advisory‏ ‎(CSA), ‎this ‎time ‎starring‏ ‎the‏ ‎ever-so-popular ‎Ubiquiti‏ ‎EdgeRouters ‎and‏ ‎their ‎starring ‎role ‎in ‎the‏ ‎global‏ ‎cybercrime ‎drama‏ ‎directed ‎by‏ ‎none ‎other ‎than ‎APT28.

In ‎this‏ ‎latest‏ ‎blockbuster‏ ‎release ‎from‏ ‎our ‎cybersecurity‏ ‎overlords, ‎we‏ ‎learn‏ ‎how ‎Ubiquiti‏ ‎EdgeRouters, ‎those ‎user-friendly, ‎Linux-based ‎gadgets,‏ ‎have ‎become‏ ‎the‏ ‎unwilling ‎accomplices ‎in‏ ‎APT28's ‎nefarious‏ ‎schemes. ‎With ‎their ‎default‏ ‎credentials‏ ‎and ‎«what‏ ‎firewall?» ‎security,‏ ‎these ‎routers ‎are ‎practically ‎rolling‏ ‎out‏ ‎the ‎red‏ ‎carpet ‎for‏ ‎cyber ‎villains.

If ‎you’re ‎using ‎Ubiquiti‏ ‎EdgeRouters‏ ‎and‏ ‎haven’t ‎been‏ ‎hacked ‎yet,‏ ‎congratulations! ‎But‏ ‎maybe‏ ‎check ‎those‏ ‎settings, ‎update ‎that ‎firmware, ‎and‏ ‎change ‎those‏ ‎passwords.‏ ‎Or ‎better ‎yet,‏ ‎just ‎send‏ ‎your ‎router ‎on ‎a‏ ‎nice‏ ‎vacation ‎to‏ ‎a ‎place‏ ‎where ‎APT28 ‎can’t ‎find ‎it.‏ ‎Happy‏ ‎securing!

-------

This ‎document‏ ‎provides ‎a‏ ‎comprehensive ‎analysis ‎of ‎the ‎joint‏ ‎Cybersecurity‏ ‎Advisory‏ ‎(CSA) ‎released‏ ‎by ‎the‏ ‎Federal ‎Bureau‏ ‎of‏ ‎Investigation ‎(FBI),‏ ‎National ‎Security ‎Agency ‎(NSA), ‎US‏ ‎Cyber ‎Command,‏ ‎and‏ ‎international ‎partners, ‎detailing‏ ‎the ‎exploitation‏ ‎of ‎compromised ‎Ubiquiti ‎EdgeRouters‏ ‎by‏ ‎APT28 ‎to‏ ‎facilitate ‎malicious‏ ‎cyber ‎operations ‎globally. ‎The ‎analysis‏ ‎delves‏ ‎into ‎various‏ ‎aspects ‎of‏ ‎the ‎advisory, ‎including ‎the ‎tactics,‏ ‎techniques,‏ ‎and‏ ‎procedures ‎(TTPs)‏ ‎employed ‎by‏ ‎the ‎threat‏ ‎actors,‏ ‎indicators ‎of‏ ‎compromise ‎(IOCs), ‎and ‎recommended ‎mitigation‏ ‎strategies ‎for‏ ‎network‏ ‎defenders ‎and ‎EdgeRouter‏ ‎users.

This ‎qualitative‏ ‎summary ‎of ‎the ‎CSA‏ ‎provides‏ ‎valuable ‎insights‏ ‎for ‎cybersecurity‏ ‎professionals, ‎network ‎defenders, ‎and ‎specialists‏ ‎across‏ ‎various ‎sectors,‏ ‎offering ‎a‏ ‎deeper ‎understanding ‎of ‎the ‎nature‏ ‎of‏ ‎state-sponsored‏ ‎cyber ‎threats‏ ‎and ‎practical‏ ‎guidance ‎on‏ ‎enhancing‏ ‎network ‎security‏ ‎against ‎sophisticated ‎adversaries. ‎The ‎analysis‏ ‎is ‎particularly‏ ‎useful‏ ‎for ‎those ‎involved‏ ‎in ‎securing‏ ‎critical ‎infrastructure, ‎as ‎it‏ ‎highlights‏ ‎the ‎evolving‏ ‎tactics ‎of‏ ‎cyber ‎threat ‎actors ‎and ‎underscores‏ ‎the‏ ‎importance


Unpacking ‎in‏ ‎more ‎detail



Читать: 1+ мин
logo Хроники кибер-безопасника

MASEPIE. Потому что одного вредоносного ПО недостаточно

В ‎декабре‏ ‎2023 ‎года ‎APT28 ‎разработали ‎MASEPIE,‏ ‎небольшой ‎бэкдор‏ ‎на‏ ‎Python, ‎способный ‎выполнять‏ ‎произвольные ‎команды‏ ‎на ‎машинах-жертвах. ‎Расследование ‎ФБР‏ ‎показало,‏ ‎что ‎скомпрометированные‏ ‎Ubiquiti ‎EdgeRouters‏ ‎были ‎использованы ‎в ‎качестве ‎C2-инфраструктуры‏ ‎для‏ ‎бэкдоров ‎MASEPIE.

C2‏ ‎инфраструктура

Хотя ‎APT28‏ ‎не ‎развёртывает ‎MASEPIE ‎на ‎самих‏ ‎EdgeRouters,‏ ‎скомпрометированные‏ ‎маршрутизаторы ‎использовались‏ ‎в ‎качестве‏ ‎инфраструктуры ‎C2‏ ‎для‏ ‎связи ‎с‏ ‎бэкдорами ‎MASEPIE ‎и ‎контроля ‎над‏ ‎ними, ‎установленными‏ ‎в‏ ‎системах, ‎принадлежащих ‎целевым‏ ‎лицам ‎и‏ ‎организациям.

Данные, ‎отправляемые ‎на ‎EdgeRouters,‏ ‎действующие‏ ‎как ‎серверы‏ ‎C2, ‎были‏ ‎зашифрованы ‎с ‎использованием ‎случайно ‎сгенерированного‏ ‎16-символьного‏ ‎ключа ‎AES,‏ ‎для ‎затруднения‏ ‎обнаружения ‎и ‎анализа ‎трафика.

Функциональность ‎бэкдора‏ ‎MASEPIE

MASEPIE‏ ‎—‏ ‎это ‎бэкдор‏ ‎на ‎основе‏ ‎Python, ‎который‏ ‎позволяет‏ ‎выполнять ‎произвольные‏ ‎команды ‎в ‎заражённых ‎системах. ‎Этот‏ ‎бэкдор ‎предоставляет‏ ‎возможности‏ ‎удалённого ‎управления ‎для‏ ‎выполнения ‎действий:

📌 эксфильтрация‏ ‎данных

📌 распространение ‎внутри ‎скомпрометированной ‎сети

📌 развёртывание‏ ‎дополнительных‏ ‎вредоносных ‎программ‏ ‎или ‎инструментов

📌 выполнение‏ ‎команд ‎разведки ‎и ‎сбора ‎разведданных

Смягчение‏ ‎последствий‏ ‎

Чтобы ‎снизить‏ ‎риск ‎появления‏ ‎бэкдоров ‎MASEPIE ‎и ‎использования ‎скомпрометированных‏ ‎EdgeRouters‏ ‎в‏ ‎качестве ‎C2-инфраструктуры,‏ ‎следует ‎предпринять‏ ‎следующие ‎шаги:

📌 Внедрение‏ ‎защиты‏ ‎конечных ‎устройств:‏ ‎развёртывание ‎решений ‎для ‎защиты ‎конечных‏ ‎устройств, ‎способных‏ ‎обнаруживать‏ ‎и ‎предотвращать ‎выполнение‏ ‎MASEPIE ‎и‏ ‎других ‎вредоносных ‎скриптов ‎Python‏ ‎или‏ ‎бэкдоров.

📌 Мониторинг ‎сетевого‏ ‎трафика: отслеживание ‎сетевого‏ ‎трафика ‎на ‎предмет ‎любых ‎подозрительных‏ ‎зашифрованных‏ ‎сообщений ‎или‏ ‎подключений ‎к‏ ‎известной ‎инфраструктуре, ‎включая ‎скомпрометированные ‎EdgeRouters.

📌 Анализ‏ ‎сетевых‏ ‎журналов: просмотр‏ ‎сетевых ‎журналов‏ ‎на ‎предмет‏ ‎признаков ‎зашифрованных‏ ‎сообщений‏ ‎или ‎подключений‏ ‎к ‎EdgeRouters, ‎которые ‎могут ‎действовать‏ ‎как ‎серверы‏ ‎C2.

Читать: 1+ мин
logo Хроники кибер-безопасника

Прокси и туннель. Неофициальные функции Ubiquiti

Прокси-сервер ‎и‏ ‎туннельная ‎инфраструктура

APT28 ‎использовали ‎скомпрометированные ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎установления‏ ‎прокси-соединений ‎и ‎SSH-туннелей‏ ‎к ‎подконтрольной‏ ‎инфраструктуре ‎для ‎поддержания ‎постоянного‏ ‎доступа‏ ‎и ‎контроля‏ ‎над ‎скомпрометированными‏ ‎устройствами ‎даже ‎после ‎смены ‎пароля‏ ‎или‏ ‎других ‎попыток‏ ‎взлома.

Reverse ‎proxy-подключения

Были‏ ‎использованы ‎правила ‎iptables ‎в ‎EdgeRouters‏ ‎для‏ ‎установления‏ ‎подключений, ‎например:

iptables‏ ‎-t ‎nat‏ ‎-I ‎PREROUTING‏ ‎-d‏ ‎<router ‎IP‏ ‎address> ‎-p ‎tcp ‎-m ‎tcp‏ ‎--dport ‎4443‏ ‎-j‏ ‎DNAT ‎-to-destination ‎<APT28‏ ‎dedicated ‎infrastructure>:‏ ‎10081

Это ‎правило ‎iptables ‎перенаправляет‏ ‎входящий‏ ‎трафик ‎через‏ ‎порт ‎4443‏ ‎EdgeRouter ‎в ‎выделенную ‎инфраструктуру ‎на‏ ‎порту‏ ‎10081.

Reverse ‎SSH-туннели

Кроме‏ ‎того, ‎APT28‏ ‎загрузили ‎контролируемые ‎SSH-RSA-ключи ‎на ‎скомпрометированные‏ ‎EdgeRouters‏ ‎для‏ ‎создания ‎SSH-туннелей.‏ ‎Эти ‎туннели‏ ‎позволяют ‎получать‏ ‎доступ‏ ‎к ‎скомпрометированным‏ ‎устройствам ‎даже ‎после ‎смены ‎пароля‏ ‎или ‎других‏ ‎попыток‏ ‎взлома.

Следующие ‎каталоги ‎необходимо‏ ‎просмотреть ‎на‏ ‎предмет ‎неизвестных ‎ключей ‎RSA:

/root/.ssh/

/home/<user>/.ssh/

Наличие‏ ‎неизвестных‏ ‎ключей ‎RSA‏ ‎в ‎этих‏ ‎каталогах ‎может ‎указывать ‎на ‎то,‏ ‎что‏ ‎их ‎использовали‏ ‎для ‎доступа‏ ‎к ‎EdgeRouters ‎в ‎обход ‎аутентификации‏ ‎по‏ ‎паролю.

Кроме‏ ‎того, ‎безопасники‏ ‎могут ‎проверить‏ ‎журналы ‎сетевого‏ ‎трафика‏ ‎на ‎EdgeRouters‏ ‎для ‎идентификации ‎аномальные ‎сеансы ‎SSH:

ssh‏ ‎–i ‎<RSA‏ ‎key>‏ ‎-p ‎<port> ‎root@<router‏ ‎IP ‎address>‏ ‎-R ‎<router ‎IP ‎address>:<port>

Эта‏ ‎команда‏ ‎устанавливает ‎SSH-туннель‏ ‎от ‎EdgeRouter‏ ‎к ‎инфраструктуре, ‎позволяя ‎поддерживать ‎удалённый‏ ‎доступ‏ ‎и ‎контроль‏ ‎над ‎скомпрометированным‏ ‎устройством.

Читать: 1+ мин
logo Хроники кибер-безопасника

CVE-2023-23397. Эксплойт, который продолжает эксплуатироваться

APT28 ‎использовали‏ ‎CVE-2023–23397, ‎уязвимость ‎с ‎критическим ‎повышением‏ ‎привилегий ‎в‏ ‎Microsoft‏ ‎Outlook ‎в ‎Windows,‏ ‎для ‎облегчения‏ ‎утечки ‎учётных ‎данных ‎NTLMv2.‏ ‎Эта‏ ‎0day-уязвимость ‎позволяет‏ ‎передавать ‎хэши‏ ‎Net-NTLMv2 ‎в ‎подконтрольную ‎инфраструктуру.

Для ‎использования‏ ‎CVE-2023–23397‏ ‎и ‎сбора‏ ‎учётных ‎данных‏ ‎NTLMv2 ‎использованы ‎два ‎общедоступных ‎инструмента:

📌 http://ntlmrelayx.py: инструмент‏ ‎является‏ ‎частью‏ ‎Impacket ‎suite,‏ ‎набора ‎классов‏ ‎Python ‎для‏ ‎работы‏ ‎с ‎сетевыми‏ ‎протоколами. ‎APT28 ‎использовали ‎http://ntlmrelayx.py для ‎выполнения‏ ‎relay-атак ‎NTLM‏ ‎[T1557]‏ ‎и ‎облегчения ‎утечки‏ ‎учётных ‎данных‏ ‎NTLMv2.

📌 Responder: ‎инструмент, ‎предназначенный ‎для‏ ‎сбора‏ ‎и ‎передачи‏ ‎хэшей ‎NTLMv2‏ ‎путём ‎настройки ‎подконтрольного ‎сервера ‎аутентификации‏ ‎[T1556]‏ ‎для ‎сбора‏ ‎учётных ‎данных‏ ‎NTLMv2 ‎от ‎целевых ‎учётных ‎записей‏ ‎Outlook.

Безопасники‏ ‎могут‏ ‎выполнять ‎поиск‏ ‎файлов ‎журналов,‏ ‎а ‎также‏ ‎наличия‏ ‎http://ntlmrelayx.py и ‎Responder.db,‏ ‎Responder-Session.log ‎для ‎выявления ‎потенциальной ‎активности,‏ ‎связанной ‎с‏ ‎эксплуатацией‏ ‎CVE-2023–23397.

Смягчение ‎последствий

Чтобы ‎снизить‏ ‎риск ‎использования‏ ‎CVE-2023–23397 ‎и ‎утечки ‎учётных‏ ‎данных‏ ‎NTLMv2 ‎следует‏ ‎предпринять ‎следующие‏ ‎шаги:

📌 Применение ‎исправления ‎Microsoft: ‎Microsoft ‎выпустила‏ ‎исправление‏ ‎для ‎CVE-2023–23397.

📌 Проверка‏ ‎на ‎наличие‏ ‎скомпрометированных ‎EdgeRouters: ‎необходимо ‎использовать ‎предоставленную‏ ‎информацию‏ ‎для‏ ‎проверки ‎EdgeRouters‏ ‎на ‎наличие‏ ‎http://ntlmrelayx.py, связанных ‎с‏ ‎ними‏ ‎файлов ‎журналов,‏ ‎провести ‎идентификацию ‎и ‎изоляцию ‎всех‏ ‎скомпрометированных ‎маршрутизаторов‏ ‎для‏ ‎дальнейшего ‎расследования.

📌 Сброс ‎скомпрометированных‏ ‎учётных ‎данных: при‏ ‎обнаружении ‎утечки ‎учётных ‎данных‏ ‎NTLMv2‏ ‎следует ‎сбросить‏ ‎соответствующие ‎учётные‏ ‎записи ‎пользователей ‎и ‎применить ‎дополнительные‏ ‎меры‏ ‎безопасности, ‎такие‏ ‎как ‎MFA.

📌 Применение‏ ‎рекомендуемых ‎мер ‎по ‎устранению ‎неполадок:‏ ‎меры‏ ‎по‏ ‎устранению ‎включают‏ ‎сброс ‎настроек‏ ‎оборудования ‎к‏ ‎заводским‏ ‎настройкам, ‎обновление‏ ‎до ‎последней ‎версии ‎встроенного ‎ПО‏ ‎и ‎изменение‏ ‎имён‏ ‎пользователей ‎и ‎паролей‏ ‎по ‎умолчанию.

Читать: 2+ мин
logo Хроники кибер-безопасника

Облегчение кражи учетных данных с Ubiquiti

APT28 ‎размещали‏ ‎скрипты ‎Python ‎на ‎скомпрометированных ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎сбора‏ ‎и ‎проверки ‎украденных‏ ‎учётных ‎данных‏ ‎учётной ‎записи ‎веб-почты. ‎Эти‏ ‎сценарии‏ ‎обычно ‎хранятся‏ ‎вместе ‎со‏ ‎связанными ‎файлами ‎журналов ‎в ‎домашнем‏ ‎каталоге‏ ‎скомпрометированного ‎пользователя,‏ ‎например:

📌 /home/<compromised ‎user>/srv/http://core.py

📌 /home/<compromised‏ ‎user>/srv/debug.txt

ФБР ‎заявило ‎о ‎восстановлении ‎подробных‏ ‎файлов‏ ‎журналов,‏ ‎содержащие ‎информацию‏ ‎об ‎активности‏ ‎APT28 ‎на‏ ‎скомпрометированных‏ ‎EdgeRouters.

Пользовательские ‎скрипты‏ ‎на ‎Python

📌 Размещённые ‎крипты ‎Python ‎служат‏ ‎для ‎сбора‏ ‎и‏ ‎проверки ‎украденных ‎данных‏ ‎учётной ‎записи‏ ‎веб-почты. ‎APT28 ‎используют ‎эти‏ ‎скрипты‏ ‎как ‎часть‏ ‎своих ‎операций‏ ‎сбора ‎учётных ‎данных, ‎нацеленных ‎на‏ ‎конкретных‏ ‎пользователей ‎веб-почты.

📌 Скрипты‏ ‎предназначены ‎для‏ ‎автоматического ‎устранения ‎проблем ‎с ‎капчей‏ ‎на‏ ‎страницах‏ ‎входа ‎в‏ ‎веб-почту, ‎позволяя‏ ‎атакующим ‎обойти‏ ‎эту‏ ‎меру ‎безопасности‏ ‎и ‎получить ‎несанкционированный ‎доступ ‎к‏ ‎целевым ‎учётным‏ ‎записям.‏ ‎Чтобы ‎достичь ‎этого,‏ ‎скрипты ‎устанавливают‏ ‎соединения ‎с ‎API ‎endpoint‏ ‎api[.]anti-captcha[.]com,‏ ‎который ‎используется‏ ‎APT28 ‎для‏ ‎решения ‎проблем ‎с ‎капчей.

Yara-правила ‎для‏ ‎обнаружения

📌 Чтобы‏ ‎помочь ‎найти‏ ‎скрипты ‎сбора‏ ‎учётных ‎данных ‎на ‎скомпрометированных ‎EdgeRouters,‏ ‎ФБР‏ ‎разработало‏ ‎правило ‎Yara.‏ ‎Yara ‎—‏ ‎это ‎инструмент,‏ ‎используемый‏ ‎для ‎идентификации‏ ‎и ‎классификации ‎вредоносных ‎программ ‎на‏ ‎основе ‎текстовых‏ ‎или‏ ‎двоичных ‎шаблонов. ‎Предоставленное‏ ‎ФБР ‎правило‏ ‎Yara ‎можно ‎использовать ‎для‏ ‎сканирования‏ ‎файловой ‎системы‏ ‎EdgeRouters ‎и‏ ‎обнаружения ‎присутствия ‎скриптов ‎Python.

📌 Помимо ‎использования‏ ‎правила‏ ‎Yara, ‎можно‏ ‎также ‎запрашивать‏ ‎сетевой ‎трафик ‎на ‎предмет ‎подключений‏ ‎к‏ ‎api[.]anti-captcha[.]com‏ ‎endpoint. ‎Обнаружение‏ ‎трафика, ‎направленного‏ ‎к ‎этому‏ ‎API,‏ ‎может ‎помочь‏ ‎выявить ‎скомпрометированные ‎EdgeRouters ‎и ‎потенциальные‏ ‎действия ‎по‏ ‎сбору‏ ‎учётных ‎данных.

Смягчение ‎последствий

📌 При‏ ‎обнаружении ‎наличия‏ ‎скриптов ‎или ‎подключений ‎к‏ ‎api[.]anti-captcha[.]com‏ ‎endpoint ‎сетевые‏ ‎необходимо ‎предпринять‏ ‎немедленные ‎действия ‎для ‎снижения ‎риска‏ ‎и‏ ‎исследовать ‎степень‏ ‎компрометации. ‎Изоляция‏ ‎затронутых ‎маршрутизаторов ‎Edge ‎от ‎сети

📌 Выполнение‏ ‎тщательного‏ ‎анализа‏ ‎сценариев ‎и‏ ‎файлов ‎журналов‏ ‎для ‎понимания‏ ‎объема‏ ‎операций ‎по‏ ‎сбору ‎учётных ‎данных

📌 Сброс ‎паролей ‎для‏ ‎потенциально ‎скомпрометированных‏ ‎учётных‏ ‎записей ‎веб-почты

Читать: 1+ мин
logo Хроники кибер-безопасника

Троян Moobot. Когда роутер становится лучшим другом ботнета

APT28 ‎использовали‏ ‎учётные ‎данные ‎по ‎умолчанию ‎и‏ ‎троянизированные ‎серверные‏ ‎процессы‏ ‎OpenSSH ‎для ‎доступа‏ ‎к ‎Ubiquiti‏ ‎EdgeRouters, ‎связанеые ‎с ‎Moobot,‏ ‎ботнетом‏ ‎на ‎базе‏ ‎Mirai, ‎который‏ ‎заражает ‎устройства ‎Интернета ‎вещей ‎(IoT)‏ ‎с‏ ‎использованием ‎уязвимостей,‏ ‎которые ‎можно‏ ‎использовать ‎удалённо, ‎таких ‎как ‎слабые‏ ‎пароли‏ ‎или‏ ‎пароли ‎по‏ ‎умолчанию.

Троянские ‎файлы‏ ‎OpenSSH-сервера

Троянские ‎бинарные‏ ‎OpenSSH,‏ ‎загруженные ‎с‏ ‎packinstall[.]kozow ‎[.]com, ‎заменили ‎оригинальные ‎бинарные‏ ‎файлы ‎на‏ ‎EdgeRouters‏ ‎с ‎целью ‎удалённо‏ ‎обходить ‎аутентификацию‏ ‎и ‎получать ‎несанкционированный ‎доступ‏ ‎к‏ ‎скомпрометированным ‎маршрутизаторам.

Ботнет‏ ‎Moobot ‎известен‏ ‎своей ‎способностью ‎использовать ‎уязвимости ‎в‏ ‎устройствах‏ ‎Интернета ‎вещей,‏ ‎особенно ‎с‏ ‎ненадёжными ‎паролями ‎или ‎паролями ‎по‏ ‎умолчанию.‏ ‎Заменяя‏ ‎законные ‎двоичные‏ ‎файлы ‎сервера‏ ‎OpenSSH ‎троянскими‏ ‎версиями,‏ ‎APT28 ‎могут‏ ‎поддерживать ‎постоянный ‎доступ ‎к ‎скомпрометированным‏ ‎EdgeRouters ‎и‏ ‎использовать‏ ‎их ‎в ‎различных‏ ‎вредоносных ‎целях.

Ботнет‏ ‎на ‎базе ‎Mirai

Moobot ‎—‏ ‎это‏ ‎ботнет ‎на‏ ‎базе ‎Mirai‏ ‎и ‎является ‎производным ‎от ‎Mirai,‏ ‎которая‏ ‎впервые ‎появилась‏ ‎в ‎2016‏ ‎году. ‎Mirai ‎был ‎предназначен ‎для‏ ‎сканирования‏ ‎и‏ ‎заражения ‎IoT-устройств‏ ‎путём ‎использования‏ ‎распространённых ‎уязвимостей‏ ‎и‏ ‎учётных ‎данных‏ ‎по ‎умолчанию. ‎Как ‎только ‎устройство‏ ‎заражено, ‎оно‏ ‎становится‏ ‎частью ‎ботнета ‎и‏ ‎может ‎использоваться‏ ‎для ‎распределённых ‎атак ‎типа‏ ‎«отказ‏ ‎в ‎обслуживании»‏ ‎(DDoS), ‎credential‏ ‎stuffing ‎и ‎других ‎вредоносных ‎действий.

Воздействие‏ ‎на‏ ‎маршрутизаторы ‎EdgeRouters

При‏ ‎наличии ‎троянизированных‏ ‎процессов ‎OpenSSH ‎APT28 ‎могут ‎поддерживать‏ ‎постоянный‏ ‎доступ‏ ‎к ‎скомпрометированным‏ ‎маршрутизаторы ‎и‏ ‎использовать ‎их‏ ‎в‏ ‎качестве ‎платформы‏ ‎для ‎вредоносных ‎действий:

📌 Сбор ‎учётных ‎данных

📌 Сбор‏ ‎NTLMv2

📌 Проксирование ‎сетевого‏ ‎трафика

📌 Размещение‏ ‎целевых ‎страниц ‎для‏ ‎защиты ‎от‏ ‎фишинга ‎и ‎пользовательских ‎инструментов

Читать: 2+ мин
logo Хроники кибер-безопасника

Атакующие обожают Ubiquiti. Союз, заключенный на небесах киберпространства

Операции ‎были‏ ‎нацелены ‎на ‎различные ‎отрасли, ‎включая‏ ‎аэрокосмическую ‎и‏ ‎оборонную,‏ ‎образование, ‎энергетику ‎и‏ ‎коммунальные ‎услуги,‏ ‎госсектор, ‎гостиничный ‎бизнес, ‎нефть‏ ‎и‏ ‎газ, ‎розничную‏ ‎торговлю, ‎технологии‏ ‎и ‎транспорт. ‎Целевые ‎страны ‎включают‏ ‎Чешскую‏ ‎Республику, ‎Италию,‏ ‎Литву, ‎Иорданию,‏ ‎Черногорию, ‎Польшу, ‎Словакию, ‎Турцию, ‎Объединённые‏ ‎Арабские‏ ‎Эмираты‏ ‎и ‎США

Потенциальные‏ ‎последствия ‎воздействия‏ ‎включают:

📌 Утечка ‎данных‏ ‎и‏ ‎кража ‎конфиденциальной‏ ‎информации, ‎интеллектуальной ‎собственности ‎или ‎коммерческой‏ ‎тайны.

📌 Нарушение ‎работы‏ ‎критически‏ ‎важных ‎объектов ‎инфраструктуры,‏ ‎таких ‎как‏ ‎электросети, ‎транспортные ‎системы ‎или‏ ‎производственные‏ ‎процессы.

📌 Компрометация ‎правительственных‏ ‎сетей ‎и‏ ‎систем, ‎потенциально ‎ведущая ‎к ‎шпионажу‏ ‎или‏ ‎угрозам ‎национальной‏ ‎безопасности.

📌 Финансовые ‎потери‏ ‎из-за ‎сбоев ‎в ‎работе, ‎кражи‏ ‎данных‏ ‎клиентов‏ ‎или ‎ущерба‏ ‎репутации.

📌 Потенциальные ‎риски‏ ‎для ‎безопасности‏ ‎в‏ ‎случае ‎взлома‏ ‎систем ‎управления ‎или ‎сетей ‎операционных‏ ‎технологий ‎(OT).

📌 Потеря‏ ‎доверия‏ ‎клиентов ‎и ‎доверия‏ ‎к ‎пострадавшим‏ ‎организациям.


TTPs ‎MITRE ‎ATT& ‎CK‏ ‎

Разработка:

📌 T1587‏ ‎(разработка): ‎создание‏ ‎пользовательских ‎Py-скриптов‏ ‎для ‎сбора ‎учётных ‎данных ‎в‏ ‎т.ч‏ ‎веб-почты.

📌 T1588 ‎(возможности‏ ‎получения): доступ ‎к‏ ‎EdgeRouters, ‎скомпрометированным ‎ботнетом ‎Moobot, ‎который‏ ‎устанавливает‏ ‎троянские‏ ‎программы ‎OpenSSH.

Первоначальный‏ ‎доступ:

📌 T1584 ‎(скомпрометированная‏ ‎инфраструктура): ‎доступ‏ ‎к‏ ‎EdgeRouters, ‎ранее‏ ‎скомпрометированным ‎троянцем ‎OpenSSH.

📌 T1566 ‎(фишинг): межсайтовые ‎скриптовые‏ ‎кампании ‎и‏ ‎фишинговые‏ ‎кампании ‎«браузер ‎в‏ ‎браузере».

Выполнение:

📌 T1203 ‎(Использование‏ ‎для ‎выполнения ‎клиентом): ‎использование‏ ‎уязвимости‏ ‎CVE-2023-23397.

Закрепление:

📌 T1546 ‎(выполнение,‏ ‎инициируемое ‎событием):‏ ‎На ‎скомпрометированных ‎маршрутизаторах ‎были ‎размещены‏ ‎скрипты‏ ‎Bash ‎и‏ ‎двоичные ‎файлы‏ ‎ELF, ‎предназначенные ‎для ‎бэкдора ‎демонов‏ ‎OpenSSH‏ ‎и‏ ‎связанных ‎с‏ ‎ними ‎служб.

Доступ‏ ‎с ‎учётными‏ ‎данными:

📌 T1557‏ ‎(Злоумышленник ‎посередине):‏ ‎инструменты ‎Impacket ‎http://ntlmrelayx.py и ‎Responder, ‎на‏ ‎скомпрометированные ‎маршрутизаторы‏ ‎для‏ ‎выполнения ‎ретрансляционных ‎атак‏ ‎NTLM.

📌 T1556 ‎(Изменение‏ ‎процесса ‎аутентификации): поддельные ‎серверы ‎аутентификации-NTLMv2‏ ‎для‏ ‎изменения ‎процесса‏ ‎аутентификации ‎с‏ ‎использованием ‎и ‎передачей ‎украденных ‎учётных‏ ‎данных.

Сбор‏ ‎данных:

📌 T1119 ‎(автоматический‏ ‎сбор): ‎APT28‏ ‎использовал ‎CVE-2023-23397 ‎для ‎автоматизации ‎сбора‏ ‎хэшей‏ ‎NTLMv2.

Эксфильтрация‏ ‎данных:

📌 T1020 ‎(автоматизированная‏ ‎эксфильтрация): ‎использование‏ ‎CVE-2023-23397 ‎для‏ ‎автоматизации‏ ‎эксфильтрации ‎данных‏ ‎в ‎подконтрольную ‎инфраструктуру.



Читать: 3+ мин
logo Хроники кибер-безопасника

Безопасность Ubiquiti — это необязательная опция

Документ ‎под‏ ‎названием ‎«Cyber ‎Actors ‎Use ‎Compromised‏ ‎Routers ‎to‏ ‎Facilitate‏ ‎Cyber ‎Operations», ‎опубликованный‏ ‎ФБР, ‎АНБ,‏ ‎киберкомандованием ‎США ‎и ‎международными‏ ‎партнёрами‏ ‎предупреждает ‎об‏ ‎использовании ‎скомпрометированных‏ ‎маршрутизаторов ‎Ubiquiti ‎EdgeRouters ‎для ‎облегчения‏ ‎вредоносных‏ ‎киберопераций ‎по‏ ‎всему ‎миру.

Популярность‏ ‎Ubiquiti ‎EdgeRouters ‎объясняется ‎удобной ‎в‏ ‎использовании‏ ‎ОС‏ ‎на ‎базе‏ ‎Linux, ‎учётными‏ ‎данными ‎по‏ ‎умолчанию‏ ‎и ‎ограниченной‏ ‎защитой ‎брандмауэром. ‎Маршрутизаторы ‎часто ‎поставляются‏ ‎с ‎небезопасными‏ ‎конфигурациями‏ ‎по ‎умолчанию ‎и‏ ‎не ‎обновляют‏ ‎прошивку ‎автоматически.

Скомпрометированные ‎EdgeRouters ‎использовались‏ ‎APT28‏ ‎для ‎сбора‏ ‎учётных ‎данных,‏ ‎NTLMv2, ‎сетевого ‎трафика ‎прокси-сервера ‎и‏ ‎размещения‏ ‎целевых ‎страниц‏ ‎для ‎фишинга‏ ‎и ‎пользовательских ‎инструментов. ‎APT28 ‎получила‏ ‎доступ‏ ‎к‏ ‎маршрутизаторам, ‎используя‏ ‎учётные ‎данные‏ ‎по ‎умолчанию,‏ ‎и‏ ‎троянизировала ‎серверные‏ ‎процессы ‎OpenSSH. ‎Наличие ‎root-доступ ‎к‏ ‎скомпрометированным ‎маршрутизаторам,‏ ‎дало‏ ‎доступ ‎к ‎ОС‏ ‎для ‎установки‏ ‎инструментов ‎и ‎сокрытия ‎своей‏ ‎личности.

APT28‏ ‎также ‎развернула‏ ‎пользовательские ‎скрипты‏ ‎Python ‎на ‎скомпрометированных ‎маршрутизаторах ‎для‏ ‎сбора‏ ‎и ‎проверки‏ ‎украденных ‎данных‏ ‎учётной ‎записи ‎веб-почты, ‎полученных ‎с‏ ‎помощью‏ ‎межсайтовых‏ ‎скриптов ‎и‏ ‎кампаний ‎фишинга‏ ‎«браузер ‎в‏ ‎браузере».‏ ‎Кроме ‎того,‏ ‎они ‎использовали ‎критическую ‎уязвимость ‎с‏ ‎повышением ‎привилегий‏ ‎на‏ ‎нулевой ‎день ‎в‏ ‎Microsoft ‎Outlook‏ ‎(CVE-2023–23397) ‎для ‎сбора ‎данных‏ ‎NTLMv2‏ ‎из ‎целевых‏ ‎учётных ‎записей‏ ‎Outlook ‎и ‎общедоступные ‎инструменты ‎для‏ ‎оказания‏ ‎помощи ‎в‏ ‎NTLM-атаках

Ключевые ‎моменты

📌 APT28‏ ‎(известные ‎как ‎Fancy ‎Bear, ‎Forest‏ ‎Blizzard‏ ‎и‏ ‎Strontium) ‎использовали‏ ‎скомпрометированные ‎серверы‏ ‎Ubiquiti ‎EdgeRouters‏ ‎для‏ ‎проведения ‎вредоносных‏ ‎киберопераций ‎по ‎всему ‎миру.

📌 Эксплуатация ‎включает‏ ‎сбор ‎учётных‏ ‎данных,‏ ‎сбор ‎дайджестов ‎NTLMv2,‏ ‎проксирование ‎сетевого‏ ‎трафика, ‎а ‎также ‎размещение‏ ‎целевых‏ ‎страниц ‎для‏ ‎фишинга ‎и‏ ‎пользовательских ‎инструментов.

📌 ФБР, ‎АНБ, ‎киберкомандование ‎США‏ ‎и‏ ‎международные ‎партнеры‏ ‎выпустили ‎совместное‏ ‎консультативное ‎заключение ‎по ‎кибербезопасности ‎(CSA)‏ ‎с‏ ‎подробным‏ ‎описанием ‎угрозы‏ ‎и ‎рекомендациями‏ ‎по ‎ее‏ ‎устранению.

📌 Рекомендации‏ ‎включают ‎наблюдаемые‏ ‎тактики, ‎методы ‎и ‎процедуры ‎(TTP),‏ ‎индикаторы ‎компрометации‏ ‎(IoC)‏ ‎для ‎сопоставления ‎с‏ ‎системой ‎MITRE‏ ‎ATT& ‎CK ‎framework.

📌 В ‎рекомендациях‏ ‎содержится‏ ‎настоятельный ‎призыв‏ ‎к ‎немедленным‏ ‎действиям ‎по ‎устранению ‎угрозы, ‎включая‏ ‎выполнение‏ ‎заводских ‎настроек‏ ‎оборудования, ‎обновление‏ ‎встроенного ‎ПО, ‎изменение ‎учётных ‎данных‏ ‎по‏ ‎умолчанию‏ ‎и ‎внедрение‏ ‎стратегических ‎правил‏ ‎брандмауэра.

📌 APT28 ‎использует‏ ‎скомпрометированные‏ ‎EdgeRouters ‎как‏ ‎минимум ‎с ‎2022 ‎года ‎для‏ ‎содействия ‎операциям‏ ‎против‏ ‎различных ‎отраслей ‎промышленности‏ ‎и ‎стран,‏ ‎включая ‎США.

📌 EdgeRouters ‎популярны ‎благодаря‏ ‎своей‏ ‎удобной ‎операционной‏ ‎системе ‎на‏ ‎базе ‎Linux, ‎но ‎часто ‎поставляются‏ ‎с‏ ‎учётными ‎данными‏ ‎по ‎умолчанию‏ ‎и ‎ограниченной ‎защитой ‎брандмауэром.

📌 В ‎рекомендациях‏ ‎содержатся‏ ‎подробные‏ ‎TTP ‎и‏ ‎IOC, ‎которые‏ ‎помогут ‎сетевым‏ ‎защитникам‏ ‎идентифицировать ‎угрозу‏ ‎и ‎смягчить ‎ее ‎последствия.

📌 Рекомендация ‎также‏ ‎включает ‎информацию‏ ‎о‏ ‎том, ‎как ‎сопоставить‏ ‎вредоносную ‎киберактивность‏ ‎с ‎платформой ‎MITRE ‎ATT‏ ‎&‏ ‎CK ‎framework.

📌 Организации,‏ ‎использующие ‎Ubiquiti‏ ‎EdgeRouters, ‎должны ‎принять ‎немедленные ‎меры‏ ‎для‏ ‎защиты ‎своих‏ ‎устройств ‎от‏ ‎использования ‎APT28.

📌 Рекомендуемые ‎действия ‎включают ‎сброс‏ ‎оборудования‏ ‎к‏ ‎заводским ‎настройкам,‏ ‎обновление ‎до‏ ‎последней ‎версии‏ ‎прошивки,‏ ‎изменение ‎имен‏ ‎пользователей ‎и ‎паролей ‎по ‎умолчанию‏ ‎и ‎внедрение‏ ‎стратегических‏ ‎правил ‎брандмауэра.

Читать: 3+ мин
logo Хроники кибер-безопасника

АНБ в истерике. Ubiquiti EdgeRouters

ФБР, ‎АНБ‏ ‎и ‎их ‎международные ‎партнёры ‎порадовали‏ ‎ещё ‎одним‏ ‎рекомендацией‏ ‎по ‎безопасности ‎на‏ ‎этот ‎раз‏ ‎с ‎участием ‎очень ‎популярных‏ ‎пользователей‏ ‎Ubiquiti ‎EdgeRouters‏ ‎и ‎их‏ ‎главной ‎роли ‎в ‎глобальной ‎кибер-драме,‏ ‎срежиссированной‏ ‎APT28.

В ‎этом‏ ‎последнем ‎выпуске‏ ‎блокбастера ‎от ‎экспертов ‎в ‎области‏ ‎кибербезопасности‏ ‎мы‏ ‎узнаем, ‎как‏ ‎Ubiquiti ‎EdgeRouters,‏ ‎эти ‎удобные‏ ‎в‏ ‎использовании ‎устройства,‏ ‎стали ‎невольными ‎соучастниками ‎схем ‎APT28…‏ ‎с ‎их‏ ‎то‏ ‎учётными ‎данными ‎по‏ ‎умолчанию ‎и‏ ‎защитой ‎«зачем ‎вам ‎firewall».

Если‏ ‎вы‏ ‎пользуетесь ‎Ubiquiti‏ ‎EdgeRouters ‎и‏ ‎вас ‎ещё ‎не ‎взломали, ‎поздравляем!‏ ‎Но,‏ ‎возможно, ‎стоит‏ ‎проверить ‎настройки,‏ ‎обновить ‎прошивку ‎и ‎сменить ‎пароли.‏ ‎Или,‏ ‎что‏ ‎ещё ‎лучше,‏ ‎просто ‎отправьте‏ ‎свой ‎маршрутизатор‏ ‎в‏ ‎отпуск ‎в‏ ‎такое ‎место, ‎где ‎APT28 ‎не‏ ‎сможет ‎его‏ ‎найти.‏ ‎Удачной ‎защиты ‎роутера!

-------

Представлен‏ ‎анализ ‎документа,‏ ‎опубликованного ‎на ‎официальном ‎сайте‏ ‎Минобороны‏ ‎США, ‎описывающего‏ ‎использование ‎скомпрометированных‏ ‎маршрутизаторов ‎Ubiquiti ‎EdgeRouters ‎по ‎всему‏ ‎миру.‏ ‎Этот ‎анализ‏ ‎предоставляет ‎качественную‏ ‎выжимку ‎документа, ‎делая ‎его ‎доступным‏ ‎для‏ ‎широкой‏ ‎аудитории, ‎включая‏ ‎специалистов ‎по‏ ‎кибербезопасности, ‎сетевых‏ ‎администраторов‏ ‎и ‎руководителей‏ ‎ИТ-отделов. ‎Он ‎позволяет ‎понять ‎угрозы‏ ‎APT28, ‎что‏ ‎даёт‏ ‎возможность ‎разработать ‎эффективные‏ ‎стратегии ‎защиты,‏ ‎методы ‎идентификации ‎и ‎реагирования‏ ‎в‏ ‎сетевом ‎оборудовании),‏ ‎а ‎также‏ ‎стратегический ‎взгляд ‎на ‎управление ‎рисками‏ ‎и‏ ‎необходимость ‎внедрения‏ ‎рекомендаций ‎по‏ ‎смягчению ‎угрозы ‎для ‎защиты ‎организационной‏ ‎инфраструктуры.


Подробный‏ ‎разбор





Обновления проекта

Метки

overkillsecurity 142 overkillsecuritypdf 52 news 47 keypoints 38 nsa 26 fbi 25 adapt tactics 11 Living Off the Land 11 LOTL 11 unpacking 10 vulnerability 9 cyber security 8 Digest 8 edge routers 8 Essential Eight Maturity Model 8 malware 8 Maturity Model 8 Monthly Digest 8 research 8 ubiquiti 8 IoT 7 lolbin 7 lolbins 7 Cyber Attacks 6 phishing 6 Forensics 5 Ransomware 5 soho 5 authToken 4 BYOD 4 MDM 4 OAuth 4 Energy Consumption 3 IoMT 3 medical 3 ai 2 AnonSudan 2 authentication 2 av 2 battery 2 Buffer Overflow 2 console architecture 2 cve 2 cybersecurity 2 energy 2 Google 2 incident response 2 MITM 2 mqtt 2 Passkeys 2 Retro 2 Velociraptor 2 video 2 Vintage 2 vmware 2 windows 2 1981 1 5g network research 1 8-bit 1 Ad Removal 1 Ad-Free Experience 1 ADCS 1 advisory 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android15 1 announcement 1 antiPhishing 1 AntiPhishStack 1 antivirus 1 Apple 1 Atlassian 1 Attack 1 AttackGen 1 BatBadBut 1 Behavioral Analytics 1 BianLian 1 bias 1 Biocybersecurity 1 Biometric 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 botnet 1 Browser Data Theft 1 BucketLoot 1 CellularSecurity 1 checkpoint 1 china 1 chisel 1 cisa 1 CloudSecurity 1 CloudStorage 1 content 1 content category 1 cpu 1 Credential Dumping 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 cyber operations 1 Cyber Toufan Al-Aqsa 1 cyberops 1 D-Link 1 dark pink apt 1 data leakage 1 dcrat 1 Demoscene 1 DevSecOps 1 Dex 1 disassembler 1 DOS 1 e8mm 1 EDR 1 Embedded systems 1 Employee Training 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 Facebook 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 Firmware 1 Fortra's GoAnywhere MFT 1 france 1 FraudDetection 1 fuxnet 1 fuzzer 1 game console 1 gamification 1 GeminiNanoAI 1 genzai 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 IncidentResponse 1 Industrial Control Systems 1 jazzer 1 jetbrains 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 lg smart tv 1 lockbit 1 LSASS 1 m-trends 1 Machine Learning Integration 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 ML 1 mobile network analysis 1 mobileiron 1 nes 1 nexus 1 NGO 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 oracle 1 paid content 1 panos 1 Passwordless 1 Phishing Resilience 1 PingFederate 1 Platform Lock-in Tool 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 podcast 1 Privilege Escalation 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 qualcomm diag protocol 1 radio frame capture 1 Raytracing 1 Real-time Attack Detection 1 Red Team 1 Registry Modification 1 Risk Mitigation 1 RiskManagement 1 rodrigo copetti 1 rooted android devices 1 Router 1 rust 1 Sagemcom 1 sandworm 1 ScamCallDetection 1 security 1 Security Awareness 1 session hijacking 1 SharpADWS 1 SharpTerminator 1 shellcode 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 stack overflow 1 TA427 1 TA547 1 TDDP 1 telecom security 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 Think Tanks 1 Threat 1 threat intelligence 1 threat intelligence analysis 1 Threat Simulation 1 tool 1 toolkit 1 tp-link 1 UK 1 UserManagerEoP 1 uta0218 1 virtualbox 1 VPN 1 vu 1 wargame 1 Web Authentication 1 WebAuthn 1 webos 1 What2Log 1 Windows 11 1 Windows Kernel 1 Windstream 1 women 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZX Spectrum 1 Больше тегов

Фильтры

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048