Облегчение кражи учетных данных с Ubiquiti
APT28 размещали скрипты Python на скомпрометированных Ubiquiti EdgeRouters для сбора и проверки украденных учётных данных учётной записи веб-почты. Эти сценарии обычно хранятся вместе со связанными файлами журналов в домашнем каталоге скомпрометированного пользователя, например:
📌 /home/<compromised user>/srv/core.py
📌 /home/<compromised user>/srv/debug.txt
ФБР заявило о восстановлении подробных файлов журналов, содержащие информацию об активности APT28 на скомпрометированных EdgeRouters.
Пользовательские скрипты на Python
📌 Размещённые крипты Python служат для сбора и проверки украденных данных учётной записи веб-почты. APT28 используют эти скрипты как часть своих операций сбора учётных данных, нацеленных на конкретных пользователей веб-почты.
📌 Скрипты предназначены для автоматического устранения проблем с капчей на страницах входа в веб-почту, позволяя атакующим обойти эту меру безопасности и получить несанкционированный доступ к целевым учётным записям. Чтобы достичь этого, скрипты устанавливают соединения с API endpoint api[.]anti-captcha[.]com, который используется APT28 для решения проблем с капчей.
📌 Чтобы помочь найти скрипты сбора учётных данных на скомпрометированных EdgeRouters, ФБР разработало правило Yara. Yara – это инструмент, используемый для идентификации и классификации вредоносных программ на основе текстовых или двоичных шаблонов. Предоставленное ФБР правило Yara можно использовать для сканирования файловой системы EdgeRouters и обнаружения присутствия скриптов Python.
📌 Помимо использования правила Yara, можно также запрашивать сетевой трафик на предмет подключений к api[.]anti-captcha[.]com endpoint. Обнаружение трафика, направленного к этому API, может помочь выявить скомпрометированные EdgeRouters и потенциальные действия по сбору учётных данных.
📌 При обнаружении наличия скриптов или подключений к api[.]anti-captcha[.]com endpoint сетевые необходимо предпринять немедленные действия для снижения риска и исследовать степень компрометации. Изоляция затронутых маршрутизаторов Edge от сети
📌 Выполнение тщательного анализа сценариев и файлов журналов для понимания объема операций по сбору учётных данных
📌 Сброс паролей для потенциально скомпрометированных учётных записей веб-почты