Факты
August 20

Атакующие обожают Ubiquiti. Союз, заключенный на небесах киберпространства 

Операции были нацелены на различные отрасли, включая аэрокосмическую и оборонную, образование, энергетику и коммунальные услуги, госсектор, гостиничный бизнес, нефть и газ, розничную торговлю, технологии и транспорт. Целевые страны включают Чешскую Республику, Италию, Литву, Иорданию, Черногорию, Польшу, Словакию, Турцию, Объединённые Арабские Эмираты и США

Потенциальные последствия воздействия включают:

📌 Утечка данных и кража конфиденциальной информации, интеллектуальной собственности или коммерческой тайны.

📌 Нарушение работы критически важных объектов инфраструктуры, таких как электросети, транспортные системы или производственные процессы.

📌 Компрометация правительственных сетей и систем, потенциально ведущая к шпионажу или угрозам национальной безопасности.

📌 Финансовые потери из-за сбоев в работе, кражи данных клиентов или ущерба репутации.

📌 Потенциальные риски для безопасности в случае взлома систем управления или сетей операционных технологий (OT).

📌 Потеря доверия клиентов и доверия к пострадавшим организациям.

TTPs MITRE ATT&CK

Разработка:

📌 T1587 (разработка): создание пользовательских Py-скриптов для сбора учётных данных в т.ч веб-почты.

📌 T1588 (возможности получения): доступ к EdgeRouters, скомпрометированным ботнетом Moobot, который устанавливает троянские программы OpenSSH.

Первоначальный доступ:

📌 T1584 (скомпрометированная инфраструктура): доступ к EdgeRouters, ранее скомпрометированным троянцем OpenSSH.

📌 T1566 (фишинг): межсайтовые скриптовые кампании и фишинговые кампании "браузер в браузере".

Выполнение:

📌 T1203 (Использование для выполнения клиентом): использование уязвимости CVE-2023-23397.

Закрепление:

📌 T1546 (выполнение, инициируемое событием): На скомпрометированных маршрутизаторах были размещены скрипты Bash и двоичные файлы ELF, предназначенные для бэкдора демонов OpenSSH и связанных с ними служб.

Доступ с учётными данными:

📌 T1557 (Злоумышленник посередине): инструменты Impacket ntlmrelayx.py и Responder, на скомпрометированные маршрутизаторы для выполнения ретрансляционных атак NTLM.

📌 T1556 (Изменение процесса аутентификации): поддельные серверы аутентификации-NTLMv2 для изменения процесса аутентификации с использованием и передачей украденных учётных данных.

Сбор данных:

📌 T1119 (автоматический сбор): APT28 использовал CVE-2023-23397 для автоматизации сбора хэшей NTLMv2.

Эксфильтрация данных:

📌 T1020 (автоматизированная эксфильтрация): использование CVE-2023-23397 для автоматизации эксфильтрации данных в подконтрольную инфраструктуру.