Хакерская группировка APT28 (Strontium, Fancy Bear) с середины 2021 года атакует правительственные структуры, предприятия, университеты, научно-исследовательские институты и аналитические центры во Франции.
Согласно новому отчету Национального агентства по безопасности информационных систем Франции (Agence Nationale de la sécurité des systèmes d’information, ANSSI), хакеры компрометируют периферийные устройства на критически важных сетях французских организаций, отказываясь от использования бэкдоров, чтобы избежать обнаружения.
ANSSI проанализировало TTPs (techniques, tactics and procedures) группы и обнаружило, что APT28 использует брутфорс и утечки учетных данных для взлома аккаунтов и роутеров Ubiquiti в целевых сетях. В апреле 2023 года была запущена фишинговая кампания, целью которой было получение конфигурации системы, информации о запущенных процессах и других данных.
В период с марта 2022 по июнь 2023 года APT28 отправляла письма пользователям Outlook, эксплуатируя уязвимость CVE-2023-23397. Атакующие также эксплуатировали другие уязвимости, включая CVE-2022-30190 (Follina) в средстве диагностики поддержки Microsoft Windows (Microsoft Windows Support Diagnostic Tool, MSDT) и CVE-2020-12641 в веб-почте Roundcube, для проведения разведки и сбора данных.
Для атак группа использовала такие инструменты, как экстрактор паролей Mimikatz и инструмент ретрансляции трафика reGeorg, а также сервисы с открытым исходным кодом Mockbin и Mocky. Отмечается, что APT28 также использует множество VPN-клиентов.
Целью APT28, как группы кибершпионажа, является получение несанкционированного доступа и эксфильтрация данных. Атакующие получали информацию для аутентификации, используя стандартные утилиты, и похищали письма с конфиденциальной информацией. Инфраструктура серверов управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2) базируется на облачных сервисах Microsoft OneDrive и Google Drive, что затрудняет их обнаружение.
ANSSI акцентирует внимание на комплексном подходе к безопасности, который включает в себя оценку рисков. В случае угрозы от APT28 особое внимание следует уделить безопасности электронной почты. Основные рекомендации агентства в области безопасности электронной почты включают:
- Обеспечение безопасности и конфиденциальности обмена электронными письмами;
- Использование безопасных платформ для обмена, чтобы предотвратить перенаправление или захват электронной почты;
- Минимизация поверхности атаки веб-интерфейсов почты и уменьшение рисков от серверов, таких как Microsoft Exchange;
- Внедрение инструментов обнаружения вредоносных писем.