Francia dice que piratas informáticos estatales rusos violaron numerosas redes críticas

BeyGoo

El grupo de piratería ruso APT28 (también conocido como ‘Strontium’ o ‘Fancy Bear’) ha estado apuntando a entidades gubernamentales, empresas, universidades, institutos de investigación y grupos de expertos en Francia desde la segunda mitad de 2021.

El grupo de amenazas, que se considera parte del servicio de inteligencia militar de Rusia GRU, fue vinculado recientemente a la explotación de CVE-2023-38831, una vulnerabilidad de ejecución remota de código en WinRAR, y CVE-2023-23397, una falla de elevación de privilegios de día cero. en Microsoft Outlook.

Los piratas informáticos rusos han estado comprometiendo dispositivos periféricos en redes críticas de organizaciones francesas y dejando de utilizar puertas traseras para evadir la detección.

Esto es según un informe recientemente publicado de ANSSI (Agence Nationale de la sécurité des systèmes d’information), la Agencia Nacional Francesa para la Seguridad de los Sistemas de Información, que llevó a cabo investigaciones sobre las actividades del grupo de ciberespionaje.

ANSSI ha mapeado los TTP (técnicas, tácticas y procedimientos) de APT28, informando que el grupo de amenazas utiliza bases de datos filtradas y de fuerza bruta que contienen credenciales para violar cuentas y enrutadores Ubiquiti en redes específicas.

En un caso de abril de 2023, los atacantes ejecutaron una campaña de phishing que engañó a los destinatarios para que ejecutaran PowerShell que exponía la configuración de su sistema, los procesos en ejecución y otros detalles del sistema operativo.

Entre marzo de 2022 y junio de 2023, APT28 envió correos electrónicos a usuarios de Outlook que explotaron la entonces vulnerabilidad de día cero ahora rastreada como CVE-2023-23397, colocando la explotación inicial un mes antes de lo que se informó recientemente.

Durante este período, los atacantes también explotaron CVE-2022-30190 (también conocido como «Follina») en la herramienta de diagnóstico de soporte de Microsoft Windows y CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 en la aplicación Roundcube.

Las herramientas utilizadas en las primeras etapas de los ataques incluyen el extractor de contraseñas Mimikatz y la herramienta de retransmisión de tráfico reGeorg, así como los servicios de código abierto Mockbin y Mocky.

ANSSI también informa que APT28 utiliza una variedad de clientes VPN, incluidos SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN y VPNSecure.

ANSSI ha observado que los actores de amenazas recuperan información de autenticación utilizando utilidades nativas y roban correos electrónicos que contienen información y correspondencia confidenciales.

Específicamente, los atacantes explotan CVE-2023-23397 para activar una conexión SMB desde las cuentas objetivo a un servicio bajo su control, lo que permite recuperar el hash de autenticación NetNTLMv2, que también se puede utilizar en otros servicios.

La infraestructura del servidor de comando y control (C2) de APT28 se basa en servicios legítimos en la nube, como Microsoft OneDrive y Google Drive, para que sea menos probable que el intercambio genere alarmas mediante herramientas de monitoreo de tráfico.

Finalmente, ANSSI ha visto evidencia de que los atacantes recopilan datos utilizando el implante CredoMap, que apunta a la información almacenada en el navegador web de la víctima, como las cookies de autenticación.

Zi zoomSendmarc

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.