Факты
August 22

Облегчение кражи учетных данных с Ubiquiti

APT28 размещали скрипты Python на скомпрометированных Ubiquiti EdgeRouters для сбора и проверки украденных учётных данных учётной записи веб-почты. Эти сценарии обычно хранятся вместе со связанными файлами журналов в домашнем каталоге скомпрометированного пользователя, например:

📌 /home/<compromised user>/srv/core.py

📌 /home/<compromised user>/srv/debug.txt

ФБР заявило о восстановлении подробных файлов журналов, содержащие информацию об активности APT28 на скомпрометированных EdgeRouters.

Пользовательские скрипты на Python

📌 Размещённые крипты Python служат для сбора и проверки украденных данных учётной записи веб-почты. APT28 используют эти скрипты как часть своих операций сбора учётных данных, нацеленных на конкретных пользователей веб-почты.

📌 Скрипты предназначены для автоматического устранения проблем с капчей на страницах входа в веб-почту, позволяя атакующим обойти эту меру безопасности и получить несанкционированный доступ к целевым учётным записям. Чтобы достичь этого, скрипты устанавливают соединения с API endpoint api[.]anti-captcha[.]com, который используется APT28 для решения проблем с капчей.

Yara-правила для обнаружения

📌 Чтобы помочь найти скрипты сбора учётных данных на скомпрометированных EdgeRouters, ФБР разработало правило Yara. Yara – это инструмент, используемый для идентификации и классификации вредоносных программ на основе текстовых или двоичных шаблонов. Предоставленное ФБР правило Yara можно использовать для сканирования файловой системы EdgeRouters и обнаружения присутствия скриптов Python.

📌 Помимо использования правила Yara, можно также запрашивать сетевой трафик на предмет подключений к api[.]anti-captcha[.]com endpoint. Обнаружение трафика, направленного к этому API, может помочь выявить скомпрометированные EdgeRouters и потенциальные действия по сбору учётных данных.

Смягчение последствий

📌 При обнаружении наличия скриптов или подключений к api[.]anti-captcha[.]com endpoint сетевые необходимо предпринять немедленные действия для снижения риска и исследовать степень компрометации. Изоляция затронутых маршрутизаторов Edge от сети

📌 Выполнение тщательного анализа сценариев и файлов журналов для понимания объема операций по сбору учётных данных

📌 Сброс паролей для потенциально скомпрометированных учётных записей веб-почты