Un subgrup al grupului de hacking sponsorizat de statul rus APT44, cunoscut și sub numele de ‘Seashell Blizzard’ și ‘Sandworm’, vizează organizații critice și guverne într-o campanie de mai mulți ani numită ‘BadPilot’.
Actorul amenințării este activ cel puțin din 2021 și este responsabil și pentru spargerea rețelelor organizațiilor din sectoarele energetice, petroliere și gaz, de comunicații, de transport maritim și de fabricație de arme.
Echipa de Informații despre Amenințări a Microsoft declară că actorul este dedicat obținerii accesului inițial la sistemele țintă, stabilirii persistenței și menținerii prezenței pentru a permite altor subgrupuri APT44 cu expertiză post-compromis să preia controlul.
„Am observat, de asemenea, că subgrupul de acces inițial urmărește accesul la o organizație înainte de un atac distructiv legat de Seashell Blizzard”, se arată într-un raport Microsoft distribuit către BleepingComputer.
Conform evaluării Microsoft, „Seashell Blizzard folosește acest subgrup de acces inițial pentru a scala orizontal operațiunile lor pe măsură ce noile explozive sunt obținute și pentru a menține accesul persistent la sectoarele actuale și viitoare de interes pentru Rusia”.
Primele observații ale activității subgrupului realizate de Microsoft arată operațiuni oportuniste care vizează Ucraina, Europa, Asia Centrală și de Sud, precum și Orientul Mijlociu, concentrându-se pe sectoarele critice.
Începând cu anul 2022, în urma invaziei Rusiei în Ucraina, subgrupul și-a intensificat operațiunile împotriva infrastructurii critice care susțin Ucraina, inclusiv guvernul, armata, transporturile și sectoarele de logistică.
Intruziunile lor au vizat colectarea de informații, perturbări operaționale și atacuri de tip wiper menite să corupă datele din sistemele vizate.
„Evaluăm că subgrupul a facilitat cel puțin trei atacuri cibernetice distructive în Ucraina începând cu anul 2023”, menționează Microsoft în ceea ce privește activitatea specifică a subgrupului.
Până în 2023, domeniul de targetare al subgrupului s-a extins, efectuând compromise la scară largă în Europa, Statele Unite și Orientul Mijlociu, iar în 2024, s-a început să se concentreze pe Statele Unite, Regatul Unit, Canada și Australia.
Subgrupul APT44 folosește mai multe tehnici pentru a compromite rețelele, inclusiv exploatarea vulnerabilităților n-day în infrastructura expusă pe internet, furtul de acreditări și atacuri asupra lanțului de aprovizionare.
Atacurile asupra lanțului de aprovizionare au fost deosebit de eficiente împotriva organizațiilor din Europa și Ucraina, unde hackerii au vizat furnizorii de servicii IT cu gestionare regională și au accesat ulterior mai mulți clienți.
Microsoft a observat scanări de rețea și încercări ulterioare de exploatare a următoarelor vulnerabilități:
După exploatarea vulnerabilităților de mai sus pentru a obține acces, hackerii au stabilit persistența prin implementarea unor shell-uri web personalizate precum ‘LocalOlive’.
În 2024, subgrupul APT44 a început să folosească instrumente legale de management la distanță a IT-ului precum Atera Agent și Splashtop Remote Services pentru a executa comenzi pe sistemele compromise, prezentându-se drept administratori IT pentru a evita detectarea.
În ceea ce privește activitatea post-acces inițial, actorii amenințării folosesc Procdump sau registrul Windows pentru a fura acreditări, iar Rclone, Chisel și Plink pentru exfiltrarea datelor prin tunele de rețea ascunse.
Cercetătorii au observat o tehnică nouă în 2024, când actorul amenințării a rutat traficul prin rețeaua Tor „mascând efectiv toate conexiunile de intrare către activul afectat și limitând expunerile atât din partea actorului, cât și a mediului victimei”.
În cele din urmă, subgrupul efectuează mișcări laterale pentru a ajunge la toate părțile rețelei la care poate, și modifică infrastructura după cum este necesar pentru operațiunile sale.
Modificările includ manipulări de configurare a DNS-ului, crearea de servicii noi și sarcini programate, precum și configurarea unui acces ascuns folosind OpenSSH cu chei publice unice.
Microsoft afirmă că subgrupul de hackeri rus are „o acoperire aproape globală” și ajută Seashell Blizzard să-și extindă targetarea geografică.
În raportul publicat astăzi, cercetătorii împărtășesc interogări de vânătoare, indicatori de compromis (IoC-uri) și reguli YARA pentru a prinde activitatea acestui actor de amenințare și a o opri înainte de .
Leave a Reply