Pháp cho biết nhóm tin tặc của Nga đã xâm phạm nhiều mạng quan trọng

Nhóm hack APT28 của Nga (còn gọi là 'Strontium' hoặc 'Fancy Bear') đã nhắm mục tiêu vào các tổ chức Chính phủ, doanh nghiệp, trường đại học, viện nghiên cứu và tổ chức nghiên cứu ở Pháp kể từ nửa cuối năm 2021.

Nhóm đe dọa này, được coi là một phần của cơ quan tình báo quân sự GRU của Nga, gần đây có liên quan đến việc khai thác CVE-2023-38831, một lỗ hổng thực thi mã từ xa trong WinRAR và CVE-2023-23397, một lỗ hổng nâng cao đặc quyền zero-day trong Microsoft Outlook.

Các tin tặc Nga đã xâm phạm các thiết bị ngoại vi trên các mạng quan trọng của các tổ chức Pháp và không còn sử dụng các cửa sau để tránh bị phát hiện.

Theo một báo cáo mới được công bố từ ANSSI (Agence Nationale de la sécurité des systèmes d'information), Cơ quan An ninh Hệ thống Thông tin Quốc gia Pháp, cơ quan đã tiến hành điều tra về các hoạt động của nhóm gián điệp mạng.

Trinh sát mạng và truy cập ban đầu

ANSSI đã lập bản đồ các TTP (kỹ thuật, chiến thuật và quy trình) của APT28, báo cáo rằng nhóm đe dọa sử dụng cơ sở dữ liệu bị rò rỉ có chứa thông tin xác thực để xâm phạm tài khoản và bộ định tuyến Ubiquiti trên các mạng mục tiêu.

Từ tháng 4 năm 2023, những kẻ tấn công đã chạy một chiến dịch lừa đảo lừa người nhận chạy PowerShell, làm lộ cấu hình hệ thống, các quy trình đang chạy và các chi tiết khác về hệ điều hành của họ.

Trong khoảng thời gian từ tháng 3 năm 2022 đến tháng 6 năm 2023, APT28 đã gửi email tới những người dùng Outlook khai thác lỗ hổng zero-day lúc đó được theo dõi là CVE-2023-23397, khiến lần khai thác đầu tiên sớm hơn một tháng so với thời điểm được báo cáo gần đây.

Trong giai đoạn này, những kẻ tấn công cũng khai thác CVE-2022-30190 (còn gọi là “Follina”) trong Công cụ chẩn đoán hỗ trợ Microsoft Windows và CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 trong ứng dụng Roundcube.

Các công cụ được sử dụng trong giai đoạn đầu của cuộc tấn công bao gồm trình trích xuất mật khẩu Mimikatz và công cụ chuyển tiếp lưu lượng truy cập reGeorg, cũng như các dịch vụ nguồn mở Mockbin và Mocky.

ANSSI cũng báo cáo rằng APT28 sử dụng nhiều máy khách VPN, bao gồm SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN và VPNSecure.

Địa chỉ phát tán email khai thác CVE-2023-23397 (ANSSI)



Truy cập và lọc dữ liệu

Là một nhóm gián điệp mạng nên việc truy cập và lấy cắp dữ liệu là mục tiêu hoạt động cốt lõi của Strontium.

ANSSI đã quan sát thấy các tác nhân đe dọa lấy thông tin xác thực bằng cách sử dụng các tiện ích gốc và đánh cắp các email chứa thông tin và thư từ nhạy cảm.

Cụ thể, những kẻ tấn công khai thác CVE-2023-23397 để kích hoạt kết nối SMB từ các tài khoản được nhắm mục tiêu đến một dịch vụ do chúng kiểm soát, cho phép truy xuất hàm băm xác thực NetNTLMv2, hàm băm này cũng có thể được sử dụng trên các dịch vụ khác.

Cơ sở hạ tầng máy chủ chỉ huy và kiểm soát (C2) của APT28 dựa trên các dịch vụ đám mây hợp pháp, chẳng hạn như Microsoft OneDrive và Google Drive, để giúp sàn giao dịch ít có khả năng đưa ra bất kỳ cảnh báo nào từ các công cụ giám sát lưu lượng.

Cuối cùng, ANSSI đã tìm được bằng chứng cho thấy những kẻ tấn công thu thập dữ liệu bằng cách sử dụng bộ cấy CredoMap, nhắm mục tiêu vào thông tin được lưu trữ trong trình duyệt web của nạn nhân, chẳng hạn như cookie xác thực.

Mockbin và dịch vụ Pipedream cũng tham gia vào quá trình lọc dữ liệu.

Chuỗi tấn công APT28 (ANSSI)