Pawn Storm 是一种高级持续威胁 (APT) 攻击者,也称为 APT28,至少自 2004 年以来一直在全球范围内使用一系列技术来瞄准高价值实体。
尽管依赖看似过时的方法,例如已有十年之久的网络钓鱼活动,该组织仍然继续危害数千个电子邮件帐户。
根据趋势科技研究人员 Feike Hacquebord 和 Fernando Merces 今天发布的一份报告,该组织最近参与了 Net-NTLMv2 哈希中继攻击,试图暴力侵入全球政府、国防和军事网络。
据报道,2022 年 4 月至 2023 年 11 月期间,Pawn Storm 专注于发起 NTLMv2 哈希中继攻击,目标是处理外交、能源、国防、交通和其他各个部门的政府部门。
该集团活跃于欧洲、北美、南美、亚洲、非洲和中东。它通过修改受害者邮箱中的文件夹权限来实现持久性,从而实现横向移动。
Pawn Storm近年来加强了运营安全,并逐渐改变策略。自 2019 年以来,针对邮件服务器和企业 VPN 服务的暴力凭证攻击很常见。
近年来,该组织还采用了匿名层,例如 VPN 服务、Tor、受损的 EdgeOS 路由器以及 URL 缩短器等免费服务。匿名层的使用扩展到从通过 Tor 或 VPN 出口节点访问受损电子邮件帐户发送鱼叉式网络钓鱼电子邮件。
2023 年 3 月修补的严重漏洞 CVE-2023-23397允许 Pawn Storm 对 Outlook 用户进行哈希中继攻击。该组织利用此缺陷发送恶意日历邀请,触发 Net-NTLMv2 哈希中继攻击。
该活动一直持续到 2023 年 8 月,并采用了更复杂的方法,包括在 Mockbin 上托管的脚本以及重定向到免费 Web 托管域上的 PHP 脚本的 URL。
Pawn Storm 的多样化包括利用 WinRAR 漏洞CVE-2023-38831进行哈希中继攻击。2023 年底,利用 webhook[.] 站点 URL 和 VPN IP 地址,针对欧洲政府的凭证网络钓鱼活动。
Pawn Storm 的凭证网络钓鱼网站
2022 年 10 月,Pawn Storm 使用了一个没有命令和控制 (C2) 服务器的信息窃取者。这种粗暴但有效的方法是将窃取的文件上传到免费文件共享服务,并使用短网址进行访问。
Pawn Storm 于 2022 年 10 月发送的鱼叉式网络钓鱼电子邮件,其中包含一个恶意附件,该附件安装了一个没有 C&C 服务器的简单信息窃取程序。
在趋势科技的报告中,Hacquebord 和 Merces 警告说,尽管 Pawn Storm 已经有二十年的历史,但它仍然具有侵略性,采用大声和侵略性的策略以及先进和隐秘的方法。
趋势科技敦促网络防御者利用报告中提供的失陷检测指标来增强其安全性,抵御 Pawn Storm 的持续威胁。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/AZ-ROqGt6G3Zc0Ys0k96Rw
暂无评论内容