Атакующие обожают Ubiquiti. Союз, заключенный на небесах киберпространства
Операции были нацелены на различные отрасли, включая аэрокосмическую и оборонную, образование, энергетику и коммунальные услуги, госсектор, гостиничный бизнес, нефть и газ, розничную торговлю, технологии и транспорт. Целевые страны включают Чешскую Республику, Италию, Литву, Иорданию, Черногорию, Польшу, Словакию, Турцию, Объединённые Арабские Эмираты и США
Потенциальные последствия воздействия включают:
📌 Утечка данных и кража конфиденциальной информации, интеллектуальной собственности или коммерческой тайны.
📌 Нарушение работы критически важных объектов инфраструктуры, таких как электросети, транспортные системы или производственные процессы.
📌 Компрометация правительственных сетей и систем, потенциально ведущая к шпионажу или угрозам национальной безопасности.
📌 Финансовые потери из-за сбоев в работе, кражи данных клиентов или ущерба репутации.
📌 Потенциальные риски для безопасности в случае взлома систем управления или сетей операционных технологий (OT).
📌 Потеря доверия клиентов и доверия к пострадавшим организациям.
📌 T1587 (разработка): создание пользовательских Py-скриптов для сбора учётных данных в т.ч веб-почты.
📌 T1588 (возможности получения): доступ к EdgeRouters, скомпрометированным ботнетом Moobot, который устанавливает троянские программы OpenSSH.
📌 T1584 (скомпрометированная инфраструктура): доступ к EdgeRouters, ранее скомпрометированным троянцем OpenSSH.
📌 T1566 (фишинг): межсайтовые скриптовые кампании и фишинговые кампании "браузер в браузере".
📌 T1203 (Использование для выполнения клиентом): использование уязвимости CVE-2023-23397.
📌 T1546 (выполнение, инициируемое событием): На скомпрометированных маршрутизаторах были размещены скрипты Bash и двоичные файлы ELF, предназначенные для бэкдора демонов OpenSSH и связанных с ними служб.
📌 T1557 (Злоумышленник посередине): инструменты Impacket ntlmrelayx.py и Responder, на скомпрометированные маршрутизаторы для выполнения ретрансляционных атак NTLM.
📌 T1556 (Изменение процесса аутентификации): поддельные серверы аутентификации-NTLMv2 для изменения процесса аутентификации с использованием и передачей украденных учётных данных.
📌 T1119 (автоматический сбор): APT28 использовал CVE-2023-23397 для автоматизации сбора хэшей NTLMv2.
📌 T1020 (автоматизированная эксфильтрация): использование CVE-2023-23397 для автоматизации эксфильтрации данных в подконтрольную инфраструктуру.